Valve Steam Client vor Releasedate October 30th. 2013/or later Friend Message Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 9.5 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in Valve Steam Client ausgemacht. Sie wurde als sehr kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Friend Message Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 30.10.2013 durch Arnaud Dovi von Zero Day Initiative als Steam Client Update Released in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf store.steampowered.com. Die Herausgabe passierte in Zusammenarbeit mit Valve. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 25.03.2019).
Ein Aktualisieren auf die Version Releasedate October 30th. 2013 oder or later vermag dieses Problem zu lösen. Eine neue Version kann von store.steampowered.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Valve hat nachweislich unmittelbar gehandelt.
Weitere Informationen werden unter zerodayinitiative.com bereitgestellt.
Produkt
Hersteller
Name
Lizenz
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 9.9VulDB Meta Temp Score: 9.5
VulDB Base Score: 9.9
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Steam Client Releasedate October 30th. 2013/or later
Timeline
30.10.2013 🔍30.10.2013 🔍
25.11.2013 🔍
29.11.2013 🔍
25.03.2019 🔍
Quellen
Advisory: Steam Client Update ReleasedPerson: Arnaud Dovi
Firma: Zero Day Initiative
Status: Bestätigt
Koordiniert: 🔍
Secunia: 55846 - Steam Client Chat Messages Handling Arbitrary Code Execution Vulnerability, Moderately Critical
OSVDB: 100341
Diverses: 🔍
Eintrag
Erstellt: 29.11.2013 09:17Aktualisierung: 25.03.2019 15:20
Anpassungen: 29.11.2013 09:17 (51), 25.03.2019 15:20 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.