Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hackerone: Sicherheitslücke in Steam…

"Früher" hat man Lücken einfach gepostet

  1. Thema

Neues Thema Ansicht wechseln


  1. "Früher" hat man Lücken einfach gepostet

    Autor: bummelbär 09.08.19 - 14:18

    Und zwar überall. Und schon musste der Hersteller seinen Arsch hoch kriegen. Und heute macht man im Verheimlichungsspiel mit und lässt sich dafür bezahlen.

    Weiß nicht wieso da jetzt Steam am Pranger steht. Man will ja kassieren und die Klappe halten, die wollten jetzt nur nicht zahlen.

    Und das ist also schlecht?



    1 mal bearbeitet, zuletzt am 09.08.19 14:19 durch bummelbär.

  2. Re: "Früher" hat man Lücken einfach gepostet

    Autor: DWolf 09.08.19 - 14:29

    Jein.
    Die Bugbounty Programme schützen bei schweren Lücken auch normale Nutzer ein Stück weit.

    Wenn alle 0-Days von Tag 1 an öffentlich rumgeistern wärs doch für alle ungemütlicher und es gäbe keine Chance das in einem angemessenen Rahmen zu fixen.
    Wenn Hersteller allerdings schlampen oder das ignorieren, ist das Veröffentlichen der nächste logische Schritt.

    Ich muss keine alten Autos fahren, ich will.

  3. Re: "Früher" hat man Lücken einfach gepostet

    Autor: -Jake- 09.08.19 - 15:21

    Mit zunehmend komplexerer Software kann es durchaus mal einige Tage in Anspruch nehmen bis man die Lücke vollständig nachvollzogen und gepatcht hat. Danach sollte man das auch noch testen, ob das Problem (in allen Variationen) richtig behoben ist und ob man sich damit evtl. andere Lücken oder Bugs einhandelt. Wenn ja, nochmal zurück zu Schritt 1...
    Da ist es schon gut wenn die Entwickler etwas Vorlaufzeit bekommen und der Patch direkt verfügbar ist, dann können die Nutzer auch direkt handeln wenn die Aufmerksamkeit am größten ist.

  4. Re: "Früher" hat man Lücken einfach gepostet

    Autor: \pub\bash0r 09.08.19 - 15:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Weiß nicht wieso da jetzt Steam am Pranger steht. Man will ja kassieren und
    > die Klappe halten, die wollten jetzt nur nicht zahlen.

    Wenn das so gewesen wäre, hätten sie sich für's Reporting bedankt und dafür entschuldigt, dass sie aufgrund der Regeln nicht dafür bezahlen werden. Die Lücke würde man aber trotzdem schließen.
    Noch besser wäre natürlich gewesen ausnahmsweise einfach doch zu zahlen.
    Wenn hingegen kommuniziert wird, dass man die Lücke nicht anerkennt, liegt schon nahe, dass man auch wenig Interesse an einem Fix hat. Ergo: Veröffentlichung. Sonst lernen sie es ja nie.

  5. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Hotohori 09.08.19 - 18:01

    \pub\bash0r schrieb:
    --------------------------------------------------------------------------------
    > bummelbär schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weiß nicht wieso da jetzt Steam am Pranger steht. Man will ja kassieren
    > und
    > > die Klappe halten, die wollten jetzt nur nicht zahlen.
    >
    > Wenn das so gewesen wäre, hätten sie sich für's Reporting bedankt und dafür
    > entschuldigt, dass sie aufgrund der Regeln nicht dafür bezahlen werden. Die
    > Lücke würde man aber trotzdem schließen.
    > Noch besser wäre natürlich gewesen ausnahmsweise einfach doch zu zahlen.
    > Wenn hingegen kommuniziert wird, dass man die Lücke nicht anerkennt, liegt
    > schon nahe, dass man auch wenig Interesse an einem Fix hat. Ergo:
    > Veröffentlichung. Sonst lernen sie es ja nie.

    Zumal die Lücke eben nicht so harmlos ist wie Valve es darstellt.

    Ich meine ich kann verstehen, dass man sagt, dass man Lücken ausnimmt, für die man lokalen Zugriff auf den Computer braucht, da es dann erheblich schwerer wird diese Lücke auszunutzen, aber das ist hier ja nicht der Fall. Eine Drittsoftware kann diese Lücke ausnutzen und dafür muss nur der Nutzer diese runterladen, da braucht kein Dritter lokalen direkten Zugriff auf den Computer.

  6. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Raenef 09.08.19 - 19:24

    Bummelbär hatte den gleichen Gedanken wie ich,

    Nur geht sowas über die Plattform

    Eine PM mit wir kümmern uns sicher

    Aber den Vorgang schließen etc

  7. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Porterex 09.08.19 - 21:39

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    > Eine Drittsoftware kann diese Lücke ausnutzen und dafür muss nur der Nutzer
    > diese runterladen, da braucht kein Dritter lokalen direkten Zugriff auf den
    > Computer.

    Ja toll. Ich lade mir einen Verschlüsselungs-Trojaner runter und führe ihn aus und mache dann Microsoft dafür verantwortlich, dass ich nicht mehr an meine Daten komme, da der Trojaner meine Daten verschlüsselt hat.

  8. Re: "Früher" hat man Lücken einfach gepostet

    Autor: bccc1 09.08.19 - 21:53

    Treffender Vergleich wäre, das dein Trojaner nicht nur deine Daten verschlüsselt, sondern auch die deiner Familienmitglieder auf deren Ordner du mit deinem eingeschränkten Konto gar kein Schreibzugriff hattest.

  9. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Frostwind 10.08.19 - 20:50

    cat %system32%\calc.exe > %programfiles%\steam\bin\steamservice.exe
    Reboot
    Log on, start steam
    BAM! Now you have calc.exe (attempted to) run as System with highest local privileges

    Quelle: https://github.com/roflsandwich/Steam-EoP

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Hong Kong Economic and Trade Office, Berlin
  3. Deloitte, verschiedene Standorte
  4. IT-Systemhaus Dresden GmbH, Dresden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-60%) 23,99€
  2. 4,99€
  3. (u. a. FIFA 19, Battlefield V, Space Huilk Tactics, Rainbow Six Siege)
  4. 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. UMTS: 3G-Abschaltung kein Thema für die Bundesregierung
    UMTS
    3G-Abschaltung kein Thema für die Bundesregierung

    Nutzer, die kein LTE in ihren Verträgen festgeschrieben haben, sollten wechseln, da 3G zunehmend abgeschaltet werde. Das erklärte das Bundesverkehrsministerium und sieht keinen Grund zum Eingreifen.

  2. P3 Group: Wo die Mobilfunkqualität in Deutschland am niedrigsten ist
    P3 Group
    Wo die Mobilfunkqualität in Deutschland am niedrigsten ist

    Die Qualität des Mobilfunks in Deutschland ist in den einzelnen Bundesländern sehr unterschiedlich. Dort, wo Funklöcher gerade ein wichtiges Thema sind, ist die Versorgung gar nicht so schlecht.

  3. Mecklenburg-Vorpommern: Funkmastenprogramm verzögert sich
    Mecklenburg-Vorpommern
    Funkmastenprogramm verzögert sich

    Wegen fehlender Zustimmung der EU ist das Geld für ein Mobilfunkprogramm in Mecklenburg-Vorpommern noch nicht verfügbar. Dabei hat das Bundesland laut einer P3-Messung große Probleme.


  1. 18:00

  2. 18:00

  3. 17:41

  4. 16:34

  5. 15:44

  6. 14:42

  7. 14:10

  8. 12:59