在拒绝对本地端权限扩张类型的漏洞发抓漏奖金之后，Valve认错了，开始接受LPE等级的
漏洞回报
https://www.ithome.com.tw/news/132602
之前有位研究人员透过Valve于HackerOne上执行的漏洞奖励专案，回报了Steam程式的本
地端权限扩张漏洞，但被Valve以漏洞资格不符而拒绝提供奖金，现在Valve对外坦承当时
做了错误的决定
文/陈晓莉 | 2019-08-23发表
就在代号为Felix的俄罗斯安全研究人员Vasily Kravets连续公开揭露两个Steam客户端程
式的权限扩张漏洞之后，Valve向媒体发出了声明，表示拒绝Felix所提出的第一个漏洞是
错误的。
Felix当初透过Valve于HackerOne上执行的抓漏奖励专案，回报了Steam程式的本地端权限
扩张漏洞，但被以超出抓漏奖励专案的范围而拒绝，于是Felix在不被同意的状况下公开
了该漏洞，接着即成为该专案的拒绝往来户，使得本周Felix再度对外揭露Steam程式的第
二个本地端权限扩张（Local Privilege Escalation，LPE）漏洞。
在媒体纷纷要求Valve评论此事时，Valve发表声明，坦承当初认为Felix所提出的漏洞超
出抓漏奖励专案范围是不对的，该专案唯一排除的是Steam程式用来发动电脑上既有恶意
程式的漏洞，对规则的误解，使得他们错失了更严重的本地端权限扩张漏洞。
因此，Valve已变更HackerOne平台上的专案规则，明确指出任何允许恶意程式不必经由管
理凭证就能借由Steam扩充权限的漏洞，或是任何未经授权即可变更Steam权限的漏洞，都
在抓漏范围内。
而对于外界质疑Valve是因不想支付奖金才选择忽视Felix所提报的漏洞，Valve也说，该
公司在过去两年内已与263名安全研究人员合作，找出及解决了约500个安全漏洞，支付了
超过67.5万美元的奖金，期望能继续与安全社群合作以改善产品的安全性。
此外，Valve也正在修补Felix所公布的第二个本地端权限漏洞。不过，Felix向媒体透露
，截至本周四（8月22日）Valve或HackerOne并未跟他联系，且他依旧遭到该抓漏专案的
封锁。

反观 除了我们没人可以看 的公司

好公司给推

认错就好 漏洞快修一修

拉不下脸，ban掉就没事了

暗绿色接口时期有一个游戏全餐的漏洞 甚是怀念

还没解ban?

等给那位骇客一个交代再来

看到问题先把他ban了

抓漏就找陈添财

所以还是没补奖金给那个骇客XD

知错能改再有吃屎

认错也好 反观…

踢到铁板了吼= =

结果还是ban那个发现者，也没补发奖金呀？

抓漏是陈财佑

steam有改进就好 下次不要再这样了

没救惹 资安观念看起来真的不太妙

感觉没给个交代 只是口头说说

真好 道个歉就没事了

知错能改，反观

之后骇客收到V社的一盒甜甜圈当作对他歉意 至于甜甜圈怎么做的 不好说

很明显就valve太自大 至少会认错 快补救吧

怎么还在说谎? 明明是先BAN人才公开漏洞的呀

觉得只是公关场面话，也还没解ban,先应付媒体止血而已

那个甜甜圈真的会怕 XD

标题与内文... xD

认错不改进~~一堆没看内文的笑死

补发奖金跟解ban骇客 再补推 抱歉原po

认错再把提出问题的人解决掉就行了 valve不意外

valve内部先整顿整顿吧 ceo不管事内部一团乱

The cake is a lie.

楼上有梗XDDD

V社：什么？你抓到我程式漏洞！ 吃我的ban啦（消息公开后）V社：对不起使用者，我们诚心解决但是害我消息毕露的继续吃ban喔

笑死

辣个人被列为拒绝往来户了吗

Bz化

放心啦，已经大到不能倒了，没事儿没事儿BZ这公司啥时倒都不会有人同情

大头症

结果还是没补奖金 继续封锁 呵呵我不当白帽啦 JOJO! (?

疴...这么大一家公司,两年支付67.5万美金抓漏很抠啊

本来就该继续封锁不给钱就搞 当Valve会怕?

公布就叫搞你? Valve自认不严重公布后就不该修