Sicherheitslücke in Crysis entdeckt

Wenn man dem Bericht von heise Security vertrauen schenken darf, haben diese eine Sicherheitslücke im Ego Shooter Crysis entdeckt. Mit dieser Lücke kann man den CD Code nutzen und dann andere Clients zum abstürzen zu bewegen.

Im Internet gibt es schon eine Demonstration gegen die Sicherheitslücke, da die Entwickler noch keinen Patch herausgebracht haben. Die Schwachstelle nennt sich Format-String-Schwachstelle. Diese tritt immer dann auf, wenn man einen internen Debug Nachrichtendienst erstellt.

Wenn man der Demonstration im Internet glauben darf reicht es schon aus, wenn der Crysis User seinen Namen ändert. So erhält er dann eine Formatanweisung. Wenn man danach über die Konsole den Befehl „kill“ eingibt sollten eigentlich alle Clients abstürzen, voraussetzt sie haben sich mit dem aktuellen Server verbunden. Des weitern soll man auch über diese Lücke Schadcodes nutzen können. Allerdings hat man hierfür noch keinen Beweis.

Die Experten empfehlen, dass man den MP Part des Spieles im Moment nur im lokalen Netzwerk spielt, also mit Freunden den man vertrauenkann.

Das Problem ist mir selbst noch gar nicht aufgefallen als ich online gezockt habe. Also bei mir is noch nichts abgestürzt, *toi toi toi*. Wird dann ja wohl bald wieder ein Patch rauskommen.