Im Steam-Client wurde eine Sicherheitslücke entdeckt, die Angreifern eine Denial-of-Service-Attacke (DoS) ermöglicht. Valve hat die Sicherheitslücke mittlerweile gefixt. Der Steam-Client sollte unbedingt aktualisiert werden.

Der Steam-Client hat eine Sicherheitslücke, die es Angreifern ermöglicht, den Steam-Client eines einzelnen Steam-Users mittels einer Denial-of-Service-Attacke gezielt abstürzen zu lassen. Die DoS-Lücke in Steam wurde im Zuge der Zero Day Initiative kommuniziert, weshalb Details zum Angriffsvektor selbst geheim gehalten werden. Die Sicherheitslücke gilt dabei als sehr einfach auszunutzen. Das sei aber nur unter bestimmten Bedingungen möglich und die Auswirkungen selbst wurden als eher gering eingestuft.

Bereits am 4. Februar 2015 hatte Elvis Collado von den HP DVLabs die DoS-Sicherheitslücke im Steam-Client gemeldet und eine Beschreibung dazu an Valve kommuniziert. Die Deadline läuft am 4. Juni 2015 ab. Bis zu dieser Deadline muss Valve die Sicherheitslücke schließen. Andernfalls werden die Details zur DoS-Lücke veröffentlicht, was innerhalb kürzester Zeit zu einer aktiven Ausnutzung der Lücke führen würde. Diese spezielle Galgenfrist soll Software-Hersteller dazu animieren, kurzfristig zu reagieren und einen Patch für Sicherheitslücken zu entwickeln.

Valve hat bereits jetzt ein Update für den Steam-Client verfügbar, das die Sicherheitslücke ZDI-CAN-2627 schließt. Das Update wurde heute Nacht getestet und sowohl für die Beta-Version als auch die Hauptversion des Steam-Clients bereitgestellt. Weil es sich um eine Sicherheitslücke handelt, sollte dieses Update auf jeden Fall eingespielt werden.