Schwere Sicherheitslücke in Unreal-Engine

5. April 2004, 16:02
2 Postings

Angreifer können Spiele-Server zum Absturz bringen oder sogar Code auf Rechnern ausführen

Laut einem Posting auf der Sicherheits-Mailing-Liste Bugtraq findet sich in der aktuellen Unreal-Engine eine schwere Sicherheitslücke. Diese Lücke ermöglicht es Angreifern mit entsprechend formatierten Strings Server zum Absturz zu bringen oder auch beliebigen Code auf Rechner ausführen zu können.

Seit September 2003 bekannt

Laut dem Posting sind alle Spiele betroffen, die eine Unreal-Engine benutzen und einen Multiplayer-Modus integriert haben. Sobald ein Client bei einem Online-Spiel mit einem Server verbunden ist, werden die Namen der verwendeten Objekte in Form von Klassen an den Server übertragen. Die Lücke findet sich nun innerhalb dieses Klassenmanagements. Laut Bugtaq wurde der Hersteller der Unreal Engine, das Unternehmen Epic Games, bereits im September 2003 über die Lücke informiert. Bislang gibt es jedoch noch immer kein Sicherheitsupdate. Allerdings soll Epic bereits an einem entsprechenden Patch arbeiten.(grex)

Share if you care.