Valve 刚刚修补了 Steam 的一个零日漏洞,但为了避免类似的事情再次发生,该公司还同步更新了 bug 赏金规则。该公司称,研究人员汇报的这个漏洞,其实只能算是 Steam 游戏客户端上存在的一个误会。上个月的时候,俄罗斯安全研究人员 Vasily Kravets 提交了这个漏洞,但 HackOne 工作人员告知,该漏洞已超出项目范围,且 Valve 不打算修补。
(题图 via ZDNet)
如此糟糕的公关,导致 Valve 和运营除虫奖励(bug 赏金)项目的 HackerOne 员工都遭到了猛烈的批评。
据悉,该漏洞与本地特权提升(LPE)相关。尽管不像远程代码执行(RCE)那样危险,但也不容忽视。因其允许计算机上已存在的恶意软件获得 Steam 应用的管理员权限,并完全控制主机。
*操作是,既然 Valve 打不算修复这个漏洞,HackerOne 工作人员也禁止了 Kravets 公开披露这个漏洞,这意味着数以千万计的 Steam 用户仍然易受攻击。
然而在正义感的驱动下,Kravets 最终还是披露了有关该漏洞的详细信息,即便这会导致他被 Valve 的除虫奖励项目拒之门外。
迫于压力,Valve 为 Kravets 曝光的漏洞提供了修复。但尴尬的是,另一位研究人员让它在几小时内就被扫入了垃圾桶。
然后 Kravets 在个人网站上发布了第二个有关 Steam 客户端 LPE 漏洞的详细信息(除虫奖励什么的也随它去)。
在被连续用蛋糕砸脸之后,Valve 的面色变得很是难看,最终促使该公司修改了现有的 Bug 赏金项目规则。
在今日发给 ZDNet 的一封电子邮件中,Valve 称这一切都是一个巨大的误会,导致更严重的攻击类型被排除在外。在规则更新之后,已明确将这些问题纳入范围之内。
最后,该发言人还表示,拒绝了 Kravets 的第一份报告,是一个明显的失误。该公司正在对此事展开调查,后续会采取适当的行动。
测试版客户端更新中已包含了被 Kravets 曝光的零日漏洞的修补程序,待测试和审核通过之后,这些补丁将在正式版中引入。
然而在今天早些时候的采访中,Kravets 告诉 ZDNet,他目前仍被 Valve 的 HackerOne 的 bug 赏金项目排除在外。
