Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hackerone: Steam blockiert…

Untergeschobene DLLs und Symlinks...

  1. Thema

Neues Thema Ansicht wechseln


  1. Untergeschobene DLLs und Symlinks...

    Autor: 0xDEADC0DE 22.08.19 - 15:46

    Benötigt man dazu nicht vorher schon höhere Rechte? So ganz nachvollziehen kann ich diese Sicherheitslücke nicht, scheint so, als wäre das ganze System bereits kompromitiert worden, nicht nur Steam.

  2. Re: Untergeschobene DLLs und Symlinks...

    Autor: Tuxgamer12 22.08.19 - 15:53

    > Benötigt man dazu nicht vorher schon höhere Rechte?

    Meistens. Nicht aber bei Steam - Steam setzt während der Installation die Rechte auf das Steam-Installationsverzeichniss so, dass da jeder Schreiben kann, wie er will. Kannst gerne ausprobieren ;).

    Eben um z.B. Steam-Updates ohne Admin-Rechte einspielen zu können (weil sonst müssten die Kiddies, ohne Admin ja bei jedem Steam-Update zu ihren Eltern rennen)...

    In Kombination mit "irgendwelche Services als Admin ausführen" (was muss Steam da eigentlich als Admin machen?), ist das natürlich extrem bedenklich... Gab da schon in Vergangenheit Probleme...

    Edit:

    Vergleiche Beitrag von Frostwind unter dem letzten Steam-Sicherheitslücken Artikel:
    https://forum.golem.de/kommentare/security/hackerone-sicherheitsluecke-in-steam-bleibt-vorerst-ungefixt/frueher-hat-man-luecken-einfach-gepostet/128389,5447124,5448234,read.html#msg-5448234

    Früher konntest einfach beliebige Exe in Steam-Verzeichniss schreiben und das wurde dann einfach ungeprüft als Admin ausgeführt. Dass die Checks jetzt immer noch ziemlich löschrig sind, verwundert mich nicht...



    3 mal bearbeitet, zuletzt am 22.08.19 15:57 durch Tuxgamer12.

  3. Re: Untergeschobene DLLs und Symlinks...

    Autor: nille02 22.08.19 - 15:57

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > > Benötigt man dazu nicht vorher schon höhere Rechte?
    >
    > Meistens. Nicht aber bei Steam - Steam setzt während der Installation die
    > Rechte auf das Steam-Installationsverzeichniss so, dass da jeder Schreiben
    > kann, wie er will. Kannst gerne ausprobieren ;).

    Er meint vermutlich für die Symlinks. Die sind deaktiviert und der Admin muss die Symlinks für User erst aktivieren. Mit dem Win10 Creators Update musst du dafür den Developer Mode einschalten.

  4. Re: Untergeschobene DLLs und Symlinks...

    Autor: Tuxgamer12 22.08.19 - 16:00

    Aus dem verlinkten Blogeintrag zur Sicherheitslücke:

    3) “You need administrator rights to create a symlink”.

    This statement is funny itself, because there are five general types of links in Windows and only one and a half require such rights. Let me introduce you to: file symbolic link, object directory symbolic link, hard link, NTFS reparse point and reg_link. Administrator rights are necessary only to create file symbolic link and for permanent object directory symbolic link (temporary object directory symbolic link lives as long as lives the session, where it was created, most commonly until reboot, and doesn’t require any special rights).

  5. Re: Untergeschobene DLLs und Symlinks...

    Autor: DASPRiD 22.08.19 - 18:09

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > Meistens. Nicht aber bei Steam - Steam setzt während der Installation die
    > Rechte auf das Steam-Installationsverzeichniss so, dass da jeder Schreiben
    > kann, wie er will. Kannst gerne ausprobieren ;).

    Also in meinem Homeverzeichnis hat nur mein User und dessen Gruppe Schreibrechte auf's .steam Verzeichnis.

  6. Re: Untergeschobene DLLs und Symlinks...

    Autor: Tuxgamer12 22.08.19 - 18:26

    Moment - Linux-Nutzer? Oder Mac - keine Ahnung, wie das dort ist?

    Ja, das ist wieder etwas anderes - Linux bleibt Steam ja auch schon brav im Userspace und versucht nichts als root auszuführen.

    Die Lücke betrifft nur Windows-Steam-Client.

  7. Re: Untergeschobene DLLs und Symlinks...

    Autor: mojo66 22.08.19 - 23:19

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > Oder Mac - keine Ahnung, wie das dort ist?

    Unter macOS läuft alles unter dem user account, kein admin-Quatsch wie auf diesem toyOS.

  8. Re: Untergeschobene DLLs und Symlinks...

    Autor: JouMxyzptlk 23.08.19 - 06:33

    mojo66 schrieb:
    --------------------------------------------------------------------------------
    > Tuxgamer12 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oder Mac - keine Ahnung, wie das dort ist?
    >
    > Unter macOS läuft alles unter dem user account, kein admin-Quatsch wie auf
    > diesem toyOS.

    Oh nicht schon wieder - Was kann das OS dafür wenn Steam schlampert. Und wie ist es mit "chmod +s" unter *nix? Ach so, das ist root-quatsch und kein admin-quatsch, und konnte noch nie zur Rechteausweitung genutzt werden. https://www.cvedetails.com/product/156/Apple-Mac-Os-X.html

  9. Re: Untergeschobene DLLs und Symlinks...

    Autor: FreiGeistler 23.08.19 - 08:11

    JouMxyzptlk schrieb:
    --------------------------------------------------------------------------------
    > mojo66 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tuxgamer12 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Oder Mac - keine Ahnung, wie das dort ist?
    > >
    > > Unter macOS läuft alles unter dem user account, kein admin-Quatsch wie
    > auf
    > > diesem toyOS.
    >
    > Oh nicht schon wieder - Was kann das OS dafür wenn Steam schlampert.

    MS könnte mal ihre Interpretation/Implementation von Symlink fixen, statt das Chaos noch auszubauen. Die ist nämlich ziemlich kaput. Symlinks sind unter NTFS spezielle Links, müssen von Software unterstützt werden, statt dass sie einfach zusätzliche Verweise auf FS-Ebene sind.

    > Und wie ist es mit "chmod +s" unter *nix? Ach so, das ist root-quatsch und kein
    > admin-quatsch, und konnte noch nie zur Rechteausweitung genutzt werden.
    > www.cvedetails.com

    chmod +s setzt die Ausführrechte auf den Besitzer des Files. Was hat das speziell mit root zu tun?

  10. Re: Untergeschobene DLLs und Symlinks...

    Autor: crack_monkey 23.08.19 - 14:17

    Meinst du mit Software, das eine 3. Hersteller Software die mit dem Symlink arbeiten soll das explizit unterstützen muss weil es den sonst nicht erkennt?

    So interpretiere ich das gerade. Wenn das so bei dir gemeint ist kann ich es nicht nachvollziehen. Erst gestern musste ich leider mit Symlinks Arbeiten damit eine angepasste Software läuft bis der Fehler behoben wurde und auch in den letzten Wochen öfters genutzt auf aktuellen Windows Systemen und nie Probleme. Also entweder hat das wirklich jedes Software implementiert zum unterstützen oder es funktionier einfach wie gewollt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. LaVita GmbH, Kumhausen
  2. hubergroup Deutschland GmbH, Kirchheim bei München
  3. Arburg GmbH & Co. KG, Loßburg
  4. AKDB, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. mit Gutschein: NBBX570
  3. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

  1. Spielebranche: Fortnite schwach und Mobile Games stark
    Spielebranche
    Fortnite schwach und Mobile Games stark

    Die Umsätze von Fortnite sind dramatisch gefallen, bei PCs und Konsolen läuft es auch nicht super - nur Mobile Games und die Nintendo Switch legen deutlich zu: Das sind einige der Ergebnisse von Marktforschern.

  2. CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen
    CPDoS-Angriff
    Cache-Angriffe können Webseiten lahmlegen

    Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.

  3. ChromeOS: Asus-Chromebooks kommen nach Deutschland
    ChromeOS
    Asus-Chromebooks kommen nach Deutschland

    Bisher ist das Angebot an Chrome-OS-Notebooks in Deutschland nicht sehr groß. Das wird sich ändern, denn Asus bringt gleich sechs Modelle in verschiedenen Formfaktoren und Einsatzbereichen auf den Markt. Der Startpreis ist mit 330 Euro recht niedrig.


  1. 13:35

  2. 13:20

  3. 13:06

  4. 12:35

  5. 12:20

  6. 12:03

  7. 11:58

  8. 11:30