尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
今年6月,由俄羅斯網路安全人員Vasily Kravets向Valve回報Steam程序有著「第零日」權限擴張漏洞(Privilege Escalation 0day)卻遭打回票,經45天無取得回應便在網路公開發表,而Valve則隨即修正漏洞且並未給付賞金。如今,Kravets再次揭露Steam另外一項第零日漏洞,同時公開自己遭Valve封鎖回報一事引來社群嘩然。
根據Kravets公布資訊,他再次發現Steam客戶端程序存在新的漏洞,而且這次的漏洞不需要符號連接(symbolic links)便能取得控制電腦權限。換句話說,只要是你從Steam下載被植入惡意程序碼的遊戲程序,電腦便有可能遭到安全性入侵。
不過,Kravets這次之所以再度通過公開網路發布訊息,原因正是HackerOne漏洞賞金平台通知他的回報已遭Valve排除封鎖,意即Valve拒絕再接受Kravets的漏洞回報。
展開全文
因為HackerOne計劃的封鎖,Kravets自然無法由正規管道取得自己發現漏洞應得的獎勵,只得在網路上直接公開,此舉也獲得其他網路安全人員的關注,不理解Valve為何封鎖外界的漏洞回報。
這起事件經英國科技媒體The Register報導後,讓Steam漏洞再度獲得廣大玩家關注,也令Valve迅速出面向The Register回應,並表示這一切都是他們與HackerOne網站的合作規章有誤解所導致。
「在我們的HackerOne計劃規則中,原先只有那些在啟動Steam程序之前,客戶端使用者電腦就被植入惡意軟體的漏洞回報會排除掉,」Valve向The Register解釋:「不過,這項規則的誤解確實導致我們過濾掉某些通過客戶端權限擴張來對Steam程序進行嚴重入侵攻擊的回報。」
「我們已經更新了HackerOne的計劃規則,以明確說明在範圍內的哪些問題應該呈告。」Valve進一步解釋:「在過去兩年,我們在社群的幫助下與263位安全人員有過合作並給予獎金,修正了約500項安全問題,也付了超過67.5萬美元的賞金。我們期望能繼續與網路安全社群合作,並通過HackerOne計劃增進我們產品的安全性。」