Valve обновляет правила получения бонусов после споров Steam с нулевым днем

Игровой гигант ПК говорит, что отказ от исследователя безопасности был «ошибкой»

Игровой гигант Valve заявил, что запретить исследование безопасности, в котором сообщалось об уязвимости нулевого дня в игровом клиенте Steam, было «ошибкой».

В прошлом месяце российский исследователь безопасности Василий Кравец подал отчет об ошибке, в котором он обнаружил, что Steam был уязвим к нулевому дню, из-за которого пользователи Windows 10 подвергались риску атаки.

Тем не менее, в то время HackerOne (который запускает программу баунти-багов от Valve) сказал ему, что обнаруженная им ошибка выходит за рамки программы и что Valve не собиралась ее исправлять. Рассматриваемая ошибка заключалась в проблеме повышения локальных привилегий (LPE), которая позволяла вредоносным программам, уже присутствующим на устройстве пользователя, использовать Steam-клиент Valve для получения прав администратора и полного контроля над системой.

Сотрудники HackerOne также запретили Кравецу публично раскрывать информацию об этой уязвимости, но в конечном итоге он сделал это, и ему было запрещено участвовать в программе Valve Bounty. Valve исправила ошибку, обнаруженную Кравецом, но другой исследователь обнаружил другую ошибку только через несколько часов. Затем Кравец опубликовал подробности о втором LPE, который он нашел в клиенте компании Steam, так как он не мог сообщить об этом по соответствующим каналам.

Клапан баунти программа

Valve подверглась серьезной критике за игнорирование уязвимостей LPE, поскольку они достаточно серьезны, поэтому большинство других компаний выпускают исправления для них при обнаружении в своих продуктах.

В электронном письме ZDNet, Valve объяснил, что вся ситуация была огромным недоразумением, сказав:

Valve обновляет правила получения бонусов после споров Steam с нулевым днем

«Правила нашей программы HackerOne были предназначены только для исключения сообщений о том, что Steam получил указание запускать ранее установленное вредоносное ПО на компьютере пользователя от имени этого локального пользователя. Вместо этого неправильное толкование правил также привело к исключению более серьезной атаки, которая также выполняла локальные привилегии. эскалация через Steam. Мы обновили правила нашей программы HackerOne, чтобы прямо указать, что эти проблемы находятся в сфере действия и о них следует сообщать ».

В обновлении для бета-клиента Steam Valve выпустила исправления для обеих уязвимостей нулевого дня, обнаруженных Кравцем, и после их тестирования и проверки эти исправления будут выпущены для его основного клиента.

  • Защитите свой компьютер с помощью лучшего бесплатного антивирусного ПО 2019 года

Читайте также: