在拒絕對本地端權限擴張類型的漏洞發抓漏獎金之後,Valve認錯了,開始接受LPE等級的
漏洞回報
https://www.ithome.com.tw/news/132602
之前有位研究人員透過Valve於HackerOne上執行的漏洞獎勵專案,回報了Steam程式的本
地端權限擴張漏洞,但被Valve以漏洞資格不符而拒絕提供獎金,現在Valve對外坦承當時
做了錯誤的決定
文/陳曉莉 | 2019-08-23發表
就在代號為Felix的俄羅斯安全研究人員Vasily Kravets連續公開揭露兩個Steam客戶端程
式的權限擴張漏洞之後,Valve向媒體發出了聲明,表示拒絕Felix所提出的第一個漏洞是
錯誤的。
Felix當初透過Valve於HackerOne上執行的抓漏獎勵專案,回報了Steam程式的本地端權限
擴張漏洞,但被以超出抓漏獎勵專案的範圍而拒絕,於是Felix在不被同意的狀況下公開
了該漏洞,接著即成為該專案的拒絕往來戶,使得本周Felix再度對外揭露Steam程式的第
二個本地端權限擴張(Local Privilege Escalation,LPE)漏洞。
在媒體紛紛要求Valve評論此事時,Valve發表聲明,坦承當初認為Felix所提出的漏洞超
出抓漏獎勵專案範圍是不對的,該專案唯一排除的是Steam程式用來發動電腦上既有惡意
程式的漏洞,對規則的誤解,使得他們錯失了更嚴重的本地端權限擴張漏洞。
因此,Valve已變更HackerOne平台上的專案規則,明確指出任何允許惡意程式不必經由管
理憑證就能藉由Steam擴充權限的漏洞,或是任何未經授權即可變更Steam權限的漏洞,都
在抓漏範圍內。
而對於外界質疑Valve是因不想支付獎金才選擇忽視Felix所提報的漏洞,Valve也說,該
公司在過去兩年內已與263名安全研究人員合作,找出及解決了約500個安全漏洞,支付了
超過67.5萬美元的獎金,期望能繼續與安全社群合作以改善產品的安全性。
此外,Valve也正在修補Felix所公布的第二個本地端權限漏洞。不過,Felix向媒體透露
,截至本周四(8月22日)Valve或HackerOne並未跟他聯繫,且他依舊遭到該抓漏專案的
封鎖。