Schwere Sicherheitslücke in Bandai Namcos DARK SOULS

Nach Berich­ten in nam­haf­ten Online-Medi­en wie The Ver­ge gibt es unter Win­dows eine schwe­re Sicher­heits­lü­cke in Ban­dai Nam­cos Spiel DARK SOULS 3, aber offen­bar auch in DARK SOULS 1, 2 und Remas­ter sowie das von Fans hän­de­rin­gend erwar­te­te, dem­nächst erschei­nen­de ELDEN RING (das auf der­sel­ben Game Engi­ne basiert), die es Angrei­fern via Remo­te Code Exe­cu­ti­on ermög­licht auf den Com­pu­tern des Spie­len­den belie­bi­ge Soft­ware aus­zu­füh­ren.

Auf­ge­fal­len war das wäh­rend einer Live­stream-Ses­si­on von The_​_​Grim_​_​Sleeper, an deren Ende das Spiel abstürz­te und eine Stim­me unter Nut­zung von Micro­softs Text-Zu-Spra­che-Funk­tio­nen die Spiel­wei­se des Strea­mers kri­ti­sier­te, danach öff­ne­te sich die Micro­soft power Shell.

Dem Ver­neh­men nach sei das aller­dings kein bös­ar­ti­ger Hack gewe­sen, der Hacker hat­te die Sicher­heits­lü­cke bemerkt und dann offen­bar ver­geb­lich ver­sucht, Ban­dai Nam­co und den Spie­le­ent­wic­ler From Soft­ware zu infor­mie­ren, dort war er voll­stän­dig igno­riert wor­den. Angeb­lich ist nur weni­gen Per­so­nen bekannt, wie der Sicher­heits­lü­cke genutzt wer­den kann, ich hal­te das für eine frag­wür­di­ge Aus­sa­ge, denn jetzt wo die Kat­ze aus dem Sack ist, wer­den sich sicher­lich hau­fen­wei­se zwie­lich­ti­ge Gestal­ten dar­auf stür­zen.

Das Pro­blem tritt nur auf, wenn man online spielt, Ban­dai Nam­co hat inzwi­schen nach der ultraschlech­ten PR die PvP-Ser­ver abge­schal­tet, laut einem offi­zi­el­len Bei­trag auf Red­dit arbei­ten die Ent­wick­ler an einer Lösung, hal­ten sich aller­dings zu Details über­aus bedeckt.

Die Com­mu­ni­ty des Spiels hat ein bereits exis­tie­ren­des Anti-Cheat-Mod namens Blue Sen­ti­nel über­ar­bei­tet und eine neue Ver­si­on released, die angeb­lich gegen die Lücke hel­fen soll.

Bis auf wei­te­res soll man die Games von From Soft­ware nur off­line spie­len, Kon­so­len­spie­ler auf XBox und Play­sta­ti­on sind den Mel­dun­gen zufol­ge nicht betrof­fen, für die sind auch die Ser­ver wei­ter­hin online.

Mit­tels Remo­te Code Exe­cu­ti­on (auch: Arbi­tra­ry Code Exe­cu­ti­on) kön­nen Angrei­fer einen PC voll­stän­dig über­neh­men und dort belie­bi­ge Pro­gram­me fern­ge­steu­ert aus­füh­ren.

Der Fall zeigt erneut das Pro­blem, dass nam­haf­te Fir­men, nicht nur aus der Spie­le­bran­che, Hin­wei­se auf Sicher­heits­lü­cken voll­stän­dig igno­rie­ren, was dann nicht nur zu einem PR-Desas­ter, son­dern auch zu erheb­li­chen Gefah­ren für die Soft­ware­nut­zer führt. Mei­ner Ansicht nach sind die exis­tie­ren­den Geset­ze für sol­che Fäl­le nach wie vor viel zu lax, auch wenn sich die Situa­ti­on der Nut­zer in Deutsch­land bei Soft­ware (und damit auch Spie­len) auf­grund der seit dem 01. Janu­ar 2022 geän­der­ten Gewähr­leis­tungs­ge­setz­ge­bung mini­mal ver­bes­sert hat.

Pro­mo­gra­fik DARK SOULS 3 Copy­right Ban­dai Nam­co

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies und von eingebundenen Skripten Dritter zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest (Navigation) oder auf "Akzeptieren" klickst, erklärst Du Dich damit einverstanden. Dann können auch Cookies von Drittanbietern wie Amazon, Youtube oder Google gesetzt werden. Wenn Du das nicht willst, solltest Du entweder nicht auf "Akzeptieren" klicken und die Seite nicht weiter nutzen, oder Deinen Browser im Inkognito-Modus betreiben, und/oder Anti-Tracking- und Scriptblocker-Plugins nutzen.

Mit einem Klick auf "Akzeptieren" werden zudem extern gehostete Javascripte freigeschaltet, die weitere Informationen, wie beispielsweise die IP-Adresse an Dritte weitergeben können. Welche Informationen das genau sind liegt nicht im Einflussbereich des Betreibers dieser Seite, das bitte bei den Anbietern (jQuery, Google, Youtube, Amazon, Twitter *) erfragen. Wer das nicht möchte, klickt nicht auf "akzeptieren" und verlässt die Seite.

Wer wer seine Identität im Web schützen will, nutzt Browser-Erweiterungen wie beispielsweise uBlock Origin oder ScriptBlock und kann dann Skripte und Tracking gezielt zulassen oder eben unterbinden.

* genauer: eingebettete Tweets, eingebundene jQuery-Bibliotheken, Amazon Artikel-Widgets, Youtube-Videos, Vimeo-Videos

Schließen