Wie Heise.de berichtet gibt es in Multiplayerbereich von Crysis ein Sicherheitsleck. Dies wirkt sich so aus, dass bei allen Mitspielern das Spiel abstürtzt. Ein Statement Seitens Crytek steht noch aus. Lest die komplette Mitteilung von Heise.de.
In dem beliebten Ego-Shooter Crysis können Angreifer eine Sicherheitslücke möglicherweise zur Ausführung von fremdem Code ausnutzen oder aber die Clients anderer Spieler zum Absturz bringen. Während im Netz eine Demonstration der Schwachstelle kursiert, gibt es bislang noch keinen Patch vom Hersteller Crytek.
Im milw0rm-Archiv ist eine Demonstration der Lücke von einem Hacker namens Longpoke aufgetaucht. Es soll sich bei dem Fehler um eine sogenannte Format-String-Schwachstelle handeln, die sich beim Erstellen interner Debug-Nachrichten bemerkbar macht. Ein Anwender müsse der Demonstration zufolge an der Konsole lediglich seinen Namen ändern, sodass er Formatanweisungen enthält.
Bei der anschließenden Eingabe des Befehls kill sollen alle Clients, die auf demselben Multiplayer-Server mitspielen, abstürzen. Der Fehler könnte Angreifern möglicherweise auch das Einschleusen von Schadcode erlauben; den Nachweis bleibt Longpoke jedoch schuldig. Der Sicherheitsdienstleister Secunia empfiehlt, den Multiplayer-Modus lediglich im lokalen Netzwerk mit vertrauenswürdigen Mitspielern zu nutzen.
Related Links:
- "Forumbeitrag" @ Crysis-HQ.com
- Heise.de
