Sicherheitsforscher: Valve lässt bekannte Sicherheitslücke seit zwei Jahren offen

Sicherheitsforscher kritisieren Valve. Ein Student der Ruhr-Universität Bochum hat dem Unternehmen bereits vor zwei Jahren Sicherheitslücken in der Source-Engine gemeldet. Die Source-Engine findet vor allem in den Valve-eigenen 3D-Spielen Verwendung. Die Sicherheitslücke ist ausnutzbar, wenn eine Steam-Einladung ausgelöst wird – jener ist auf Millionen von Rechnern installiert. Hier ist dann die Ausführung von Remote-Code möglich, wie das unten eingebundene Video auch zeigt.

Der gemeldete Fehler wurde erst nach Monaten bestätigt, der Sicherheitsforscher bekam seinen Finderlohn. Allerdings ist es bislang immer noch so, dass die Lücke ausnutzbar ist. Valve selbst scheint Druck auf die Sicherheitsforscher auszuüben, denn es heißt, dass das Unternehmen die Finder daran hindere, öffentliche Informationen zur Lücke bekannt zu geben. Schaut man sich die Diskussion von Entwicklern auf HackerNews an, so scheint es, als ob dieses Vorgehen nicht nur bei Valve der Fall ist.