今年6月。由俄罗斯网络安全人员Vasily Kravets向Valve回报Steam程式有着「第零日」权限扩张漏洞(Privilege Escalation 0day)却遭打回票。经45天无取得回应便在网路公开发表。而Valve则随即修正漏洞且并未给付赏金。如今。Kravets 再次揭露Steam另外一项第零日漏洞。同时公开自己遭Valve封锁回报一事引来社群哗然。
根据 Kravets 公布资讯。他再次发现 Steam 客户端程式存在新的漏洞。而且这次的漏洞不需要符号连结(symbolic links)便能取得控制电脑权限。换句话说。只要是你从Steam 下载被植入恶意程式码的游戏程式。电脑便有可能遭到安全性入侵。
不过。Kravets 这次之所以再度透过公开网路发布讯息。原因正是HackerOne 漏洞赏金平台通知他的回报已遭Valve 排除封锁。意即Valve 拒绝再接受 Kravets 的漏洞回报。
因为HackerOne计划的封锁。Kravets 自然无法由正规管道取得自己发现漏洞应得的奖励。只得在网路上直接公开。此举也获得其他网路安全人员的关注。不理解Valve 为何封锁外界的漏洞回报。
这起事件经英国科技媒体 The Register 报导后。让Steam漏洞再度获得广大社群关注。也令Valve迅速出面向The Register回应。并表示这一切都是他们与HackerOne网站的合作规章有误解所导致。
「在我们的HackerOne计画规则中。原先只有那些在启动Steam程式之前。客户端使用者电脑就被植入恶意软体的漏洞回报会排除掉。」Valve向 The Register 解释:「不过。这项规则的误解确实导致我们过滤掉某些透过客户端权限扩张来对Steam程式进行严重入侵攻击的回报。」
「我们已经更新了HackerOne的计划规则。以明确说明在范围内的哪些问题应该呈告。」Valve进一步解释:「在过去两年。我们在社群的帮助下与263位安全人员有过合作并给予奖金。修正了约500项安全问题。也付了超过67.5万美元的赏金。我们期望能继续与网路安全社群合作。并透过HackerOne计画增进我们产品的安全性。」
最终。这项漏洞终于获得Valve 承认并且祭出修正。还给Kravets 应有的公道。
下载BT游戏盒子
下载GM手游助手