valve修复steam的零日漏洞 发言人称拒绝安全研究员是一个错误-k8凯发天生赢家

valve修复steam的零日漏洞 发言人称拒绝安全研究员是一个错误
作者:expreview超能网 发布时间:2019-08-23

前些日子有安全研究员向外界公开,著名的游戏平台steam一直存在有一个高危的零日漏洞,严重影响用户系统的安全。而他向valve报告这个漏洞并请他们修复的时候被拒绝了。不过valve最终还是修复了这个漏洞并更新了他们的漏洞回报奖励计划,同时还重审了之前对于安全研究者的封禁。

这个零日漏洞是一个本地提权漏洞,会让恶意软件通过steam客户端来获得管理员权限从而取得整个系统的控制权。这个漏洞由一名俄罗斯的安全研究员vasily kravets在六月份发现,并很快提交给了valve,不过由于官方的不作为甚至禁止他参与官方的漏洞回报奖励计划,他最终在45天后向外界公开了该漏洞的存在,随后不久,valve便发布了客户端更新修复了该漏洞。

简单的说,在大众看来这件事情就像是valve不想给安全研究人员奖励一样,一时间批评声喧嚣尘上。然而在今天valve官方人员去给zdnet的一封电子邮件中,他们将这件事情称为“一个巨大的误解”。他们在信中写道:

我们hackerone项目的规则仅仅旨在为了排除那些之前系统中就被安装有恶意软件,并且steam被指示去打开这些软件的报告。相反,对于规则的误解也使得排除了更严重的攻击报告,比如通过steam来进行本地提权攻击这样的报告。我们已经更新了hackerone项目的条款,确保在范围之内的问题可以被明确说明并报告。

发言人同样承认拒绝vasily kravets的第一份报告是一个错误,他们正在对这种特殊情况进行审视,以确定他们该做出什么样的合适行动。不过在早些时候询问vasily kravets的时候,他说自己还是被ban的状态。就在昨天他还披露了steam客户端另外一个零日漏洞,这两个零日漏洞都已经被valve修复了,正在beta客户端中进行测试,不久会进入主客户端中。

年初的时候,hackerone将valve排在他们自己的最佳漏洞奖励平台榜单的第9名,一共20名。

在过去的两年中,我们已经收集并奖励了263位社区中的安全研究者,他们帮助我们找到并修复了大约500个安全问题,我们支付了约675000美元的奖金。


网站地图