Valve修复Steam的零日漏洞 发言人称拒绝安全研究员是一个错误

摘要:

前些日子有安全研究员向外界公开,著名的游戏平台Steam一直存在有一个高危的零日漏洞,严重影响用户系统的安全。而他向Valve报告这个漏洞并请他们修复的时候被拒绝了。不过Valve最终还是修复了这个漏洞并更新了他们的漏洞回报奖励计划,同时还重审了之前对于安全研究者的封禁。

这个零日漏洞是一个本地提权漏洞,会让恶意软件通过Steam客户端来获得管理员权限从而取得整个系统的控制权。这个漏洞由一名俄罗斯的安全研究员Vasily Kravets在六月份发现,并很快提交给了Valve,不过由于官方的不作为甚至禁止他参与官方的漏洞回报奖励计划,他最终在45天后向外界公开了该漏洞的存在,随后不久,Valve便发布了客户端更新修复了该漏洞。

简单的说,在大众看来这件事情就像是Valve不想给安全研究人员奖励一样,一时间批评声喧嚣尘上。然而在今天Valve官方人员去给ZDNet的一封电子邮件中,他们将这件事情称为“一个巨大的误解”。他们在信中写道:

我们HackerOne项目的规则仅仅旨在为了排除那些之前系统中就被安装有恶意软件,并且Steam被指示去打开这些软件的报告。相反,对于规则的误解也使得排除了更严重的攻击报告,比如通过Steam来进行本地提权攻击这样的报告。我们已经更新了HackerOne项目的条款,确保在范围之内的问题可以被明确说明并报告。

发言人同样承认拒绝Vasily Kravets的第一份报告是一个错误,他们正在对这种特殊情况进行审视,以确定他们该做出什么样的合适行动。不过在早些时候询问Vasily Kravets的时候,他说自己还是被ban的状态。就在昨天他还披露了Steam客户端另外一个零日漏洞,这两个零日漏洞都已经被Valve修复了,正在beta客户端中进行测试,不久会进入主客户端中。

年初的时候,HackerOne将Valve排在他们自己的最佳漏洞奖励平台榜单的第9名,一共20名。

在过去的两年中,我们已经收集并奖励了263位社区中的安全研究者,他们帮助我们找到并修复了大约500个安全问题,我们支付了约675000美元的奖金。

活动入口:

走进Verisign - 互联网根服务器的管理者/.com的守护者

查看评论
created by ceallan