Steam再被爆出安全性漏洞 Valve做法有點不厚道

今年6月，由俄羅斯網路安全人員Vasily Kravets向Valve回報Steam程式有著“第零日”許可權擴張漏洞（Privilege Escalation 0day）卻遭打回票，經45天無取得迴應便在網路公開發表，而Valve則隨即修正漏洞且並未給付賞金。如今，Kravets再次揭露Steam另外一項第零日漏洞，同時公開自己遭Valve封鎖回報一事引來社群譁然。

根據Kravets公佈資訊，他再次發現Steam客戶端程式存在新的漏洞，而且這次的漏洞不需要符號連線（symbolic links）便能取得控制電腦許可權。換句話說，只要是你從Steam下載被植入惡意程式碼的遊戲程式，電腦便有可能遭到安全性入侵。


不過，Kravets這次之所以再度通過公開網路釋出訊息，原因正是HackerOne漏洞賞金平臺通知他的回報已遭Valve排除封鎖，意即Valve拒絕再接受Kravets的漏洞回報。


因為HackerOne計劃的封鎖，Kravets自然無法由正規渠道取得自己發現漏洞應得的獎勵，只得在網路上直接公開，此舉也獲得其他網路安全人員的關注，不理解Valve為何封鎖外界的漏洞回報。

這起事件經英國科技媒體The Register報導後，讓Steam漏洞再度獲得廣大玩家關注，也令Valve迅速出面向The Register迴應，並表示這一切都是他們與HackerOne網站的合作規章有誤解所導致。

“在我們的HackerOne計劃規則中，原先只有那些在啟動Steam程式之前，客戶端使用者電腦就被植入惡意軟體的漏洞回報會排除掉，”Valve向The Register解釋：“不過，這項規則的誤解確實導致我們過濾掉某些通過客戶端許可權擴張來對Steam程式進行嚴重入侵攻擊的回報。”

“我們已經更新了HackerOne的計劃規則，以明確說明在範圍內的哪些問題應該呈告。”Valve進一步解釋：“在過去兩年，我們在社群的幫助下與263位安全人員有過合作並給予獎金，修正了約500項安全問題，也付了超過67.5萬美元的賞金。我們期望能繼續與網路安全社群合作，並通過HackerOne計劃增進我們產品的安全性。”

最終，這項漏洞終於獲得Valve承認並且祭出修正，還給Kravets應有的公道。

來源：鳳凰網遊戲
原地址：http://games.ifeng.com/a/20190824/45652840_0.shtml