In der Source-Engine aus dem Hause Valve wurde eine Sicherheitslücke gefunden, die es ermöglicht, bei Abschuss eines Gegners auf einer modifizierten Karte mit Schadsoftware infiziert zu werden.
Für den sogenannten Proof-of-Concept nutzte der Softwareentwickler Justin Taft einen Buffer Overflow im Software Development Kit der Source-Engine, mit dem er Code aus der Ferne ausführen konnte. Dafür nutzte er eine individuelle Map. Mit einem veränderten Ragdoll-Modell auf der Map, welche nach Abschuss zusammenbrach, konnte er beliebigen Code nachladen. So wurde dann nach Abschuss und Laden des Ragdoll-Models eine Verbindung zu einem Server des Angreifers hergestellt, um weiteren Schadcode auszuführen.
Valve hat bereits einen Patch veröffentlicht, der die Sicherheitslücke entfernt. Taft hat außerdem einen eigenen Patch bereitgestellt.
Quelle: Golem