|
|
今年6月,由俄罗斯网络安全人员Vasily Kravets向Valve回报Steam程序有着“第零日”权限扩张漏洞(Privilege Escalation 0day)却遭打回票,经45天无取得回应便在网络公开发表,而Valve则随即修正漏洞且并未给付赏金。如今,Kravets再次揭露Steam另外一项第零日漏洞,同时公开自己遭Valve封锁回报一事引来社群哗然。
根据Kravets公布资讯,他再次发现Steam客户端程序存在新的漏洞,而且这次的漏洞不需要符号连接(symbolic links)便能取得控制电脑权限。换句话说,只要是你从Steam下载被植入恶意程序码的游戏程序,电脑便有可能遭到安全性入侵。
不过,Kravets这次之所以再度通过公开网络发布讯息,原因正是HackerOne漏洞赏金平台通知他的回报已遭Valve排除封锁,意即Valve拒绝再接受Kravets的漏洞回报。
因为HackerOne计划的封锁,Kravets自然无法由正规渠道取得自己发现漏洞应得的奖励,只得在网络上直接公开,此举也获得其他网络安全人员的关注,不理解Valve为何封锁外界的漏洞回报。
这起事件经英国科技媒体The Register报道后,让Steam漏洞再度获得广大玩家关注,也令Valve迅速出面向The Register回应,并表示这一切都是他们与HackerOne网站的合作规章有误解所导致。
“在我们的HackerOne计划规则中,原先只有那些在启动Steam程序之前,客户端使用者电脑就被植入恶意软体的漏洞回报会排除掉,”Valve向The Register解释:“不过,这项规则的误解确实导致我们过滤掉某些通过客户端权限扩张来对Steam程序进行严重入侵攻击的回报。”
“我们已经更新了HackerOne的计划规则,以明确说明在范围内的哪些问题应该呈告。”Valve进一步解释:“在过去两年,我们在社群的帮助下与263位安全人员有过合作并给予奖金,修正了约500项安全问题,也付了超过67.5万美元的赏金。我们期望能继续与网络安全社群合作,并通过HackerOne计划增进我们产品的安全性。”
最终,这项漏洞终于获得Valve承认并且祭出修正,还给Kravets应有的公道。
来源:凤凰网游戏
原地址:http://games.ifeng.com/a/20190824/45652840_0.shtml
|
|
发表于 2019-8-27 15:19:04
