Ein seit vergangenem Dezember bekannter Fehler in der Game-Engine lithtech findet sich auch im neuen Ballerspiel F.E.A.R. wieder. lithtech macht nicht nur im neuen First-Person-Shooter den Helden Beine, sondern auch in älteren populären Spielen wie Tron 2.0 oder No one lives forever 2 -- auch diese sind für den Denial-of-Service des eingebauten Spiele-Servers anfällig.
Durch manipulierte UDP-Pakete von entweder 0 Byte beziehungsweise von mehr als 8192 und weniger als 12881 Bytes treten die Netzwerkroutinen des Spieles in eine Endlosschleife. Der Server nimmt keine weiteren Pakete entgegen.
Da Monolith nicht auf seine Advisories reagiere, hat der Entdecker des Fehlers, Luigi Auriemma, den Hersteller nicht nochmal benachrichtigt. Auriemma schreibt in seiner Sicherheitsmeldung, dass das Update auf F.E.A.R. 1.0.1 vom Oktober den Fehler immer noch nicht beseitigt. Es ist derzeit kein Workaround bekannt. Betroffen sind sowohl die Windows- als auch die Mac-Versionen der Spiele-Engine.
Siehe dazu auch:
* Security Advisory von Luigi Auriemma
Quelle und Links :
http://www.heise.de/security/news/meldung/65405
