Valve修复Steam的零日漏洞:发言人称拒绝安全研究员是一个错误
前些日子有安全研究员向外界公开,著名的游戏平台Steam一直存在有一个高危的零日漏洞,严重影响用户系统的安全。而他向Valve报告这个漏洞并请他们修复的时候被拒绝了。不过Valve最终还是修复了这个漏洞并更新了他们的漏洞回报奖励计划,同时还重审了之前对于安全研究者的封禁。
这个零日漏洞是一个本地提权漏洞,会让恶意软件通过Steam客户端来获得管理员权限从而取得整个系统的控制权。这个漏洞由一名俄罗斯的安全研究员Vasily Kravets在六月份发现,并很快提交给了Valve,不过由于官方的不作为甚至禁止他参与官方的漏洞回报奖励计划,他最终在45天后向外界公开了该漏洞的存在,随后不久,Valve便发布了客户端更新修复了该漏洞。
简单的说,在大众看来这件事情就像是Valve不想给安全研究人员奖励一样,一时间批评声喧嚣尘上。然而在今天Valve官方人员去给ZDNet的一封电子邮件中,他们将这件事情称为“一个巨大的误解”。他们在信中写道:
发言人同样承认拒绝Vasily Kravets的第一份报告是一个错误,他们正在对这种特殊情况进行审视,以确定他们该做出什么样的合适行动。不过在早些时候询问Vasily Kravets的时候,他说自己还是被ban的状态。就在昨天他还披露了Steam客户端另外一个零日漏洞,这两个零日漏洞都已经被Valve修复了,正在beta客户端中进行测试,不久会进入主客户端中。
年初的时候,HackerOne将Valve排在他们自己的最佳漏洞奖励平台榜单的第9名,一共20名。