A Valve elismeri, hogy hibát követett el, amikor „elutasította” a Steam sebezhetőségeiről számolt be kutatót
2 perc olvas
Publikálva
Ossza meg ezt a cikket
Javítsa ezt az útmutatót
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Az Ars Technica szerint, a Valve elismerte, hogy „tévedés” volt elfordítani egy kutatót, aki két különálló sebezhetőséget fedezett fel a Steam rendszerében.
A kutató láthatóan a Valve HackerOne hibaprogramján keresztül jelentette a hibákat, de jelentését „nem hatókörűnek minősítették”, és elutasították. A cég szerint a jelentés téves minősítése hiba volt.
Alább elolvashatja a Valve teljes nyilatkozatát a témában:
Tisztában vagyunk azzal is, hogy a hibákat felfedező kutatót tévesen utasították el a HackerOne hibajavító programunkon keresztül, ahol a jelentését nem hatókörűnek minősítették. Ez hiba volt.
A HackerOne programszabályainknak csak az volt a célja, hogy kizárják azokat a jelentéseket, amelyek szerint a Steam arra utasította a korábban telepített rosszindulatú programot, hogy indítsa el a felhasználó gépén, mint helyi felhasználót. Ehelyett a szabályok félreértelmezése egy komolyabb támadás kizárásához is vezetett, amely a Steamen keresztül is végrehajtotta a helyi privilégiumok eszkalációját.
Frissítettük a HackerOne programszabályzatot, hogy egyértelműen jelezzük, hogy ezek a problémák a hatálya alá tartoznak, és jelenteni kell. Az elmúlt két évben a közösség 263 biztonsági kutatójával dolgoztunk együtt és jutalmaztunk, akik nagyjából 500 biztonsági probléma azonosításában és kijavításában segítettek, és több mint 675,000 XNUMX dollár jutalmat fizettünk ki. Bízunk benne, hogy továbbra is együttműködhetünk a biztonsági közösséggel termékeink biztonságának javítása érdekében a HackerOne programon keresztül.
A konkrét kutatók tekintetében az egyes helyzetek részleteit áttekintjük, hogy meghatározzuk a megfelelő intézkedéseket. Jelenleg nem fogjuk megvitatni az egyes helyzetek részleteit vagy a fiókok állapotát.
Ars Technica azt mondják, hogy a nyilatkozat csak két nappal azután érkezett, hogy Vaszilij Kravets biztonsági kutató arról tájékoztatott, hogy a Valve a továbbiakban nem fog tőle kapni a HackerOne-on keresztül benyújtott hibajelentéseket.
A Valve elutasította Kravets két egyedi Steam sebezhetőségére vonatkozó eredeti jelentését, amelyek lehetővé tennék a hackerek számára a korábban feltört rendszerek elérését.
Csütörtökön, ugyanazon a napon, amikor a Valve nyilatkozatát kiadták, Kravets azt mondta Arsnak, hogy „még nem kapott semmilyen kommunikációt a Valve-tól, és továbbra is ki van zárva a HackerOne Valve hibabejelentő részlegéből”.
