Valve Steam Client vor Releasedate October 30th. 2013/or later Friend Message Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 9.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Valve Steam Client gefunden. Sie wurde als kritisch eingestuft. Es ist betroffen eine unbekannte Funktion der Komponente Friend Message Handler. Durch Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Es wurde eine Schwachstelle in Valve Steam Client ausgemacht. Sie wurde als sehr kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Friend Message Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 30.10.2013 durch Arnaud Dovi von Zero Day Initiative als Steam Client Update Released in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf store.steampowered.com. Die Herausgabe passierte in Zusammenarbeit mit Valve. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 25.03.2019).
Ein Aktualisieren auf die Version Releasedate October 30th. 2013 oder or later vermag dieses Problem zu lösen. Eine neue Version kann von store.steampowered.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Valve hat nachweislich unmittelbar gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von OSVDB (100341†) und Secunia (SA55846†) dokumentiert. Weitere Informationen werden unter zerodayinitiative.com bereitgestellt. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 9.9VulDB Meta Temp Score: 9.5
VulDB Base Score: 9.9
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Steam Client Releasedate October 30th. 2013/or later
Timeline
30.10.2013 🔍30.10.2013 🔍
25.11.2013 🔍
29.11.2013 🔍
25.03.2019 🔍
Quellen
Advisory: Steam Client Update ReleasedPerson: Arnaud Dovi
Firma: Zero Day Initiative
Status: Bestätigt
Koordiniert: 🔍
GCVE (VulDB): GCVE-100-11319
Secunia: 55846 - Steam Client Chat Messages Handling Arbitrary Code Execution Vulnerability, Moderately Critical
OSVDB: 100341
Diverses: 🔍
Eintrag
Erstellt: 29.11.2013 09:17Aktualisierung: 25.03.2019 15:20
Anpassungen: 29.11.2013 09:17 (51), 25.03.2019 15:20 (1)
Komplett: 🔍
Editor:
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.