今年6月,由俄罗斯网路安全人员Vasily Kravets向Valve回报Steam程式有着「第零日」权限扩张漏洞(Privilege Escalation 0day)却遭打回票,经45天无取得回应便在网路公开发表,而Valve则随即修正漏洞且并未给付赏金。如今,Kravets再次揭露Steam另外一项第零日漏洞,同时公开自己遭Valve封锁回报一事引来社群哗然。
根据 Kravets 公布资讯,他再次发现 Steam 客户端程式存在新的漏洞,而且这次的漏洞不需要符号连结(symbolic links)便能取得控制电脑权限。换句话说,只要是你从Steam 下载被植入恶意程式码的游戏程式,电脑便有可能遭到安全性入侵。
不过,Kravets 这次之所以再度透过公开网路发布讯息,原因正是HackerOne 漏洞赏金平台通知他的回报已遭Valve 排除封锁,意即Valve 拒绝再接受 Kravets 的漏洞回报。
因为HackerOne 计画的封锁,Kravets 自然无法由正规管道取得自己发现漏洞应得的奖励,只得在网路上直接公开,此举也获得其他网路安全人员的关注,不理解Valve 为何封锁外界的漏洞回报。
这起事件经英国科技媒体The Register报导后,让Steam漏洞再度获得广大社群关注,也令Valve迅速出面向The Register回应,并表示这一切都是他们与HackerOne网站的合作规章有误解所导致。
「在我们的HackerOne计画规则中,原先只有那些在启动Steam程式之前,客户端使用者电脑就被植入恶意软体的漏洞回报会排除掉,」Valve向The Register解释:「不过,这项规则的误解确实导致我们过滤掉某些透过客户端权限扩张来对Steam程式进行严重入侵攻击的回报。」
「我们已经更新了HackerOne的计画规则,以明确说明在范围内的哪些问题应该呈告。」Valve进一步解释:「在过去两年,我们在社群的帮助下与263位安全人员有过合作并给予奖金,修正了约500项安全问题,也付了超过67.5万美元的赏金。我们期望能继续与网路安全社群合作,并透过HackerOne计画增进我们产品的安全性。」
领取专属 10元无门槛券
私享最新 技术干货