Valve gibt zu, dass es einen Fehler gemacht hat, indem es den Forscher „abgewiesen“ hat, der Steam-Schwachstellen gemeldet hat

Startseite » Gaming

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Veröffentlicht am

by Ash Clemaine 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Ventil

Laut Ars Technicahat Valve in einer Stellungnahme zugegeben, dass es „ein Fehler“ war, einen Forscher abzuweisen, der zwei separate Sicherheitslücken in Steams System entdeckt hatte.

Der Forscher hat die Fehler offenbar über Valves HackerOne-Bug-Bounty-Programm gemeldet, aber sein Bericht wurde als „außerhalb des Geltungsbereichs“ eingestuft und abgelehnt. Das Unternehmen sagt, dass die falsche Klassifizierung des Berichts ein Fehler war.

Sie können die gesamte Erklärung von Valve zu diesem Thema unten lesen:

Uns ist auch bekannt, dass der Forscher, der die Fehler entdeckte, fälschlicherweise durch unser HackerOne-Bug-Bounty-Programm abgewiesen wurde, wo sein Bericht als außerhalb des Geltungsbereichs eingestuft wurde. Das war ein Fehler.

Unsere HackerOne-Programmregeln sollten nur Berichte ausschließen, in denen Steam angewiesen wurde, zuvor installierte Malware auf dem Computer eines Benutzers als dieser lokale Benutzer zu starten. Stattdessen führte eine Fehlinterpretation der Regeln auch zum Ausschluss eines schwerwiegenderen Angriffs, der auch eine lokale Privilegien-Eskalation durch Steam durchführte.

Wir haben unsere HackerOne-Programmregeln aktualisiert, um ausdrücklich darauf hinzuweisen, dass diese Probleme in den Anwendungsbereich fallen und gemeldet werden sollten. In den letzten zwei Jahren haben wir mit 263 Sicherheitsforschern in der Community zusammengearbeitet und diese belohnt, die uns geholfen haben, ungefähr 500 Sicherheitsprobleme zu identifizieren und zu beheben, und über 675,000 US-Dollar an Prämien ausgezahlt. Wir freuen uns auf die weitere Zusammenarbeit mit der Sicherheits-Community, um die Sicherheit unserer Produkte durch das HackerOne-Programm zu verbessern.

In Bezug auf die spezifischen Forscher überprüfen wir die Details jeder Situation, um die geeigneten Maßnahmen zu bestimmen. Wir werden zu diesem Zeitpunkt nicht die Details der einzelnen Situationen oder den Status ihrer Konten besprechen.

Ars Technica sagen, dass die Erklärung nur zwei Tage nach der Information des Sicherheitsforschers Vasily Kravets kam, dass Valve keine über HackerOne eingereichten Fehlerberichte mehr von ihm erhalten würde.

Die ursprünglichen Berichte von Kravets über zwei einzelne Steam-Schwachstellen, die Hackern den Zugriff auf zuvor kompromittierte Systeme ermöglichen würden, wurden von Valve zurückgewiesen und als außerhalb des Geltungsbereichs erachtet.

Am Donnerstag, dem gleichen Tag, an dem Valves Erklärung veröffentlicht wurde, sagte Kravets zu Ars, dass er „noch keine Mitteilung von Valve erhalten habe und dass er weiterhin aus dem Valve-Fehlermeldebereich von HackerOne ausgeschlossen bleibt“.

Mehr zu den Themen: steam, Steam-Schwachstellen, Ventil, Wassili Kravets

Ash Clemaine

Ash Clemaine Schild

Gaming-Reporter

Ash deckt die kostenlosen Spiele und neuen Spieleveröffentlichungen des Epic Store ab. Wenn Sie etwas zum Spielen suchen, ist Ash genau das Richtige für Sie.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *