
Steam: Gravierende Sicherheitslücke entdeckt – SteamDB rät bis auf Weiteres von der Nutzung der Steam-Dienste ab
Auf dem Twitter-Account von Steam Database (SteamDB) ist heute eine Sicherheitswarnung aufgetaucht. Nach Aussage des SteamDB-Teams wurde eine gravierende Sicherheitslücke entdeckt, die zur unerwünschten Veröffentlichung von sensiblen Nutzerdaten führen kann. Die Betreiber raten daher dringend von der Nutzung der Steam-Dienste ab, bis der Fehler behoben wird.
“Wir empfehlen keine Steam-Dienste zu nutzen, bis Valve die kürzlich entdeckte Sicherheitslücke behebt. Wir haben sie bereits deswegen kontaktiert. Diese Sicherheitslücke ist besonders für die Steam-Partner gefährlich (es sei den man will, dass die eigenen Dinge nach Außen durchsickern)”, heißt es seitens SteamDB auf Twitter.
Wie SteamDB-Programmierer Martin Benjamins in einem weiteren Tweet verriet, ist die Sicherheitslücke auf den Heartbleed-Bug zurückzuführen. Dabei handelt es sich um einen Fehler in der Verschlüsselungssoftware OpenSSL, mit dem es möglich wird via SSL/TLS verschlüsselte Daten, wie etwa Benutzernamen, Passwörter, Instant Messages, E-Mails oder geschfätskritische Dokumente auszulesen, ohne dabei irgendwelche Spuren zu hinterlassen. Der Bug betrifft nicht nur Steam sondern auch andere Dienste und Anwendungen.
Folgende OpenSSL-Version sind von dem Fehler betroffen:
- OpenSSL 1.0.1 bis 1.0.1f (einschließlich)
- OpenSSL 1.0.1g ist nicht anfällig
- OpenSSL 1.0.0 Zweig ist nicht anfällig
- OpenSSL 0.9.8 Zweig ist nicht anfällig
Die neue, fehlerbereinigte Version 1.0.1g wurde bereits gestern veröffentlicht. Bis Valve diese aufspielt, sollte man auf Nutzen von Steam-Diensten verzichten. Sobald das Update auch Steam erreicht, werden wir darüber berichten.
We recommend NOT using any Steam services until Valve issues a fix for a recently discovered vulnerability. We've contacted them about it.
— Steam Database (@SteamDB) April 8, 2014
This vulnerability is especially dangerous for Steam partners (unless you wants your things leaked).
— Steam Database (@SteamDB) April 8, 2014
@Steamgamer_De http://t.co/Tb6lEkMl0i
— Martin Benjamins (@Marlamin) April 8, 2014