在拒绝对本地端权限扩张类型的漏洞发抓漏奖金之后,Valve认错了,开始接受LPE等级的
漏洞回报
https://www.ithome.com.tw/news/132602
之前有位研究人员透过Valve于HackerOne上执行的漏洞奖励专案,回报了Steam程式的本
地端权限扩张漏洞,但被Valve以漏洞资格不符而拒绝提供奖金,现在Valve对外坦承当时
做了错误的决定
文/陈晓莉 | 2019-08-23发表
就在代号为Felix的俄罗斯安全研究人员Vasily Kravets连续公开揭露两个Steam客户端程
式的权限扩张漏洞之后,Valve向媒体发出了声明,表示拒绝Felix所提出的第一个漏洞是
错误的。
Felix当初透过Valve于HackerOne上执行的抓漏奖励专案,回报了Steam程式的本地端权限
扩张漏洞,但被以超出抓漏奖励专案的范围而拒绝,于是Felix在不被同意的状况下公开
了该漏洞,接着即成为该专案的拒绝往来户,使得本周Felix再度对外揭露Steam程式的第
二个本地端权限扩张(Local Privilege Escalation,LPE)漏洞。
在媒体纷纷要求Valve评论此事时,Valve发表声明,坦承当初认为Felix所提出的漏洞超
出抓漏奖励专案范围是不对的,该专案唯一排除的是Steam程式用来发动电脑上既有恶意
程式的漏洞,对规则的误解,使得他们错失了更严重的本地端权限扩张漏洞。
因此,Valve已变更HackerOne平台上的专案规则,明确指出任何允许恶意程式不必经由管
理凭证就能借由Steam扩充权限的漏洞,或是任何未经授权即可变更Steam权限的漏洞,都
在抓漏范围内。
而对于外界质疑Valve是因不想支付奖金才选择忽视Felix所提报的漏洞,Valve也说,该
公司在过去两年内已与263名安全研究人员合作,找出及解决了约500个安全漏洞,支付了
超过67.5万美元的奖金,期望能继续与安全社群合作以改善产品的安全性。
此外,Valve也正在修补Felix所公布的第二个本地端权限漏洞。不过,Felix向媒体透露
,截至本周四(8月22日)Valve或HackerOne并未跟他联系,且他依旧遭到该抓漏专案的
封锁。
作者:
ltyintw (菈米雅嘶嘶)
2019-08-23 21:19:00好公司给推
作者:
Jwfsm (Jwfsm)
2019-08-23 21:36:00认错就好 漏洞快修一修
作者:
sumarai (Pawn)
2019-08-23 21:39:00拉不下脸,ban掉就没事了
作者:
joe1220 (NoJeo)
2019-08-23 21:50:00暗绿色接口时期有一个游戏全餐的漏洞 甚是怀念
作者:
ANOTHERK (蛋哥)
2019-08-23 22:12:00看到问题先把他ban了
作者:
jiangee (yeeeee)
2019-08-23 22:26:00所以还是没补奖金给那个骇客XD
作者: lpsobig (LP//1) 2019-08-23 22:48:00
知错能改再有吃屎
作者:
AricFeng (AricFeng)
2019-08-23 23:25:00认错也好 反观…
作者:
supersd (阿拳)
2019-08-23 23:33:00结果还是ban那个发现者,也没补发奖金呀?
作者:
Angesi (小云豹)
2019-08-24 00:17:00steam有改进就好 下次不要再这样了
作者:
BoXeX (心爱骑士团异端审判骑士)
2019-08-24 00:29:00没救惹 资安观念看起来真的不太妙
作者:
leamaSTC (LeamaS)
2019-08-24 01:15:00真好 道个歉就没事了
之后骇客收到V社的一盒甜甜圈当作对他歉意 至于甜甜圈怎么做的 不好说
作者:
Sischill (Believe or not)
2019-08-24 08:02:00怎么还在说谎? 明明是先BAN人才公开漏洞的呀
觉得只是公关场面话,也还没解ban,先应付媒体止血而已
作者:
Sinful (记忆随时间逝去...)
2019-08-24 08:15:00那个甜甜圈真的会怕 XD
作者:
SoMnUs (懦夫救星)
2019-08-24 08:33:00标题与内文... xD
作者: s900527 (水) 2019-08-24 09:07:00
认错不改进~~一堆没看内文的笑死
认错再把提出问题的人解决掉就行了 valve不意外
作者: seantseng200 2019-08-24 10:02:00
valve内部先整顿整顿吧 ceo不管事内部一团乱
作者: owlrex (Sidro) 2019-08-24 10:44:00
The cake is a lie.
V社:什么?你抓到我程式漏洞! 吃我的ban啦(消息公开后)V社:对不起使用者,我们诚心解决但是害我消息毕露的继续吃ban喔
作者:
AN94 (AN94)
2019-08-24 12:13:00笑死
作者:
MEVIUS (七星)
2019-08-24 13:05:00Bz化
放心啦,已经大到不能倒了,没事儿没事儿BZ这公司啥时倒都不会有人同情
作者: owen5611 (owen5611) 2019-08-24 14:08:00
大头症
结果还是没补奖金 继续封锁 呵呵我不当白帽啦 JOJO! (?
作者:
qscgg (QSC)
2019-08-24 21:19:00疴...这么大一家公司,两年支付67.5万美金抓漏很抠啊
作者:
APM99 (血统纯正台北人)
2019-08-25 17:06:00本来就该继续封锁不给钱就搞 当Valve会怕?
作者: siyaoran (七星) 2019-08-25 17:51:00
公布就叫搞你? Valve自认不严重公布后就不该修