在拒绝对本地端权限扩张类型的漏洞发抓漏奖金之后,Valve认错了,开始接受LPE等级的
漏洞回报
https://www.ithome.com.tw/news/132602
之前有位研究人员透过Valve于HackerOne上执行的漏洞奖励专案,回报了Steam程式的本
地端权限扩张漏洞,但被Valve以漏洞资格不符而拒绝提供奖金,现在Valve对外坦承当时
做了错误的决定
文/陈晓莉 | 2019-08-23发表
就在代号为Felix的俄罗斯安全研究人员Vasily Kravets连续公开揭露两个Steam客户端程
式的权限扩张漏洞之后,Valve向媒体发出了声明,表示拒绝Felix所提出的第一个漏洞是
错误的。
Felix当初透过Valve于HackerOne上执行的抓漏奖励专案,回报了Steam程式的本地端权限
扩张漏洞,但被以超出抓漏奖励专案的范围而拒绝,于是Felix在不被同意的状况下公开
了该漏洞,接着即成为该专案的拒绝往来户,使得本周Felix再度对外揭露Steam程式的第
二个本地端权限扩张(Local Privilege Escalation,LPE)漏洞。
在媒体纷纷要求Valve评论此事时,Valve发表声明,坦承当初认为Felix所提出的漏洞超
出抓漏奖励专案范围是不对的,该专案唯一排除的是Steam程式用来发动电脑上既有恶意
程式的漏洞,对规则的误解,使得他们错失了更严重的本地端权限扩张漏洞。
因此,Valve已变更HackerOne平台上的专案规则,明确指出任何允许恶意程式不必经由管
理凭证就能借由Steam扩充权限的漏洞,或是任何未经授权即可变更Steam权限的漏洞,都
在抓漏范围内。
而对于外界质疑Valve是因不想支付奖金才选择忽视Felix所提报的漏洞,Valve也说,该
公司在过去两年内已与263名安全研究人员合作,找出及解决了约500个安全漏洞,支付了
超过67.5万美元的奖金,期望能继续与安全社群合作以改善产品的安全性。
此外,Valve也正在修补Felix所公布的第二个本地端权限漏洞。不过,Felix向媒体透露
,截至本周四(8月22日)Valve或HackerOne并未跟他联系,且他依旧遭到该抓漏专案的
封锁。