Steam再揭安全性漏洞却传封锁回报，事态公开后Valve紧急澄清

今年6月，由俄罗斯网路安全人员Vasily Kravets向Valve回报Steam程式有着「第零日」权限扩张漏洞（Privilege Escalation 0day）却遭打回票，经45天无取得回应便在网路公开发表，而Valve则随即修正漏洞且并未给付赏金。如今，Kravets再次揭露Steam另外一项第零日漏洞，同时公开自己遭Valve封锁回报一事引来社群哗然。

根据 Kravets 公布资讯，他再次发现 Steam 客户端程式存在新的漏洞，而且这次的漏洞不需要符号连结（symbolic links）便能取得控制电脑权限。换句话说，只要是你从Steam 下载被植入恶意程式码的游戏程式，电脑便有可能遭到安全性入侵。

不过，Kravets 这次之所以再度透过公开网路发布讯息，原因正是HackerOne 漏洞赏金平台通知他的回报已遭Valve 排除封锁，意即Valve 拒绝再接受 Kravets 的漏洞回报。

因为HackerOne 计画的封锁，Kravets 自然无法由正规管道取得自己发现漏洞应得的奖励，只得在网路上直接公开，此举也获得其他网路安全人员的关注，不理解Valve 为何封锁外界的漏洞回报。

这起事件经英国科技媒体The Register报导后，让Steam漏洞再度获得广大社群关注，也令Valve迅速出面向The Register回应，并表示这一切都是他们与HackerOne网站的合作规章有误解所导致。

「在我们的HackerOne计画规则中，原先只有那些在启动Steam程式之前，客户端使用者电脑就被植入恶意软体的漏洞回报会排除掉，」Valve向The Register解释：「不过，这项规则的误解确实导致我们过滤掉某些透过客户端权限扩张来对Steam程式进行严重入侵攻击的回报。」

「我们已经更新了HackerOne的计画规则，以明确说明在范围内的哪些问题应该呈告。」Valve进一步解释：「在过去两年，我们在社群的帮助下与263位安全人员有过合作并给予奖金，修正了约500项安全问题，也付了超过67.5万美元的赏金。我们期望能继续与网路安全社群合作，并透过HackerOne计画增进我们产品的安全性。」