Valve, Steam'in son sıfır günlerini yamaladı ve araştırmacıyı geri çevirmenin 'bir hata' olduğunu söyledi

Oyun devi Valve aradı Bir güvenlik açığını bildiren bir güvenlik araştırmacısını geri çevirmek şirketin Steam oyun istemcisinde "bir hata."

Bir Valve temsilcisi anlattı ZDNet Bugün, şirketin Steam istemcisi için düzeltmeler gönderdiğini, hata ödül programı kurallarını güncellediğini ve araştırmacının genel hata ödül programı üzerindeki yasağını gözden geçirdiğini belirten bir e-posta gönderdik.

Hata raporlama fiyaskosu

Şirketin tepkisi, kötü bir şekilde eleştirilmesinin ardından geldi ve HackerOne personeli (Valve'ın hata ödül programını yürüttüğü yer) Steam oyun istemcisindeki bir güvenlik açığı raporunu ele aldı.

Hata raporu Rus güvenlik araştırmacısı Vasily Kravets tarafından geçen ay sunuldu ancak HackerOne personeli ona hatanın programın kapsamı dışında olduğunu ve Valve'ın bunu düzeltme niyetinde olmadığını söyledi.

Hata, uzaktan kod yürütme (RCE) güvenlik açığı kadar tehlikeli olmayan bir yerel ayrıcalık yükseltme (LPE) sorunuydu, ancak yine de tehlikelidir, çünkü bilgisayarda zaten mevcut olan kötü amaçlı yazılımların Steam uygulamasını kullanarak yönetici haklarını ele geçirmesine ve tam kontrolü ele geçirmesine olanak tanır. bir ev sahibi üzerinde.

Valve hatayı düzeltme niyetinde olmasa bile HackerOne personeli Kravets'in halka açık bir şekilde çalışmasını yasakladı. Bu güvenlik açığının ifşa edilmesi, on milyonlarca Steam kullanıcısının bu saldırıya karşı savunmasız kalacağı anlamına geliyor saldırılar.

Kravets sonunda güvenlik açığıyla ilgili ayrıntıları açıkladı ve sonuç olarak Valve'ın hata ödül programından men edildi.

Valve, Kravets'in açıkladığı hata için bir düzeltme gönderdi ancak başka bir araştırmacı birkaç saat içinde bu sorunu çözmenin bir yolunu buldu.

Kravets daha sonra yayınlandı ikinci bir Steam istemcisi LPE'si hakkında ayrıntılar web sitesinde, şirketin hata ödül programı aracılığıyla bunu rapor edemediği için.

Tüm bunların içinde Valve, hata ödül ödülü ödemek istemeyen ve tehlikeli bir hatayı bildiren bir araştırmacıyı yasaklayan kötü bir şirket olarak görüldüğü için kendini pasta gibi buldu.

Valve, hata ödül programı kurallarını değiştiriyor

Tartışma ve eleştirinin çoğu Valve'a yönelik saldırının amacı, şirketin hemen hemen tüm şirketlerin ürünlerine yamaladığı bir güvenlik kusuru sınıfı olan LPE açıklarını görmezden gelmesiyle ilgiliydi.

Ancak bir e-postada ZDNet Bugün Valve tüm bunları büyük bir yanlış anlama olarak nitelendirdi.

Valve, "HackerOne program kurallarımız yalnızca Steam'in bir kullanıcının makinesine yerel kullanıcı olarak önceden yüklenmiş kötü amaçlı yazılımı başlatması talimatı verildiğine ilişkin raporları hariç tutmayı amaçlıyordu" dedi.

"Bunun yerine kuralların yanlış yorumlanması, Steam aracılığıyla yerel ayrıcalık yükseltmeyi de gerçekleştiren daha ciddi bir saldırının hariç tutulmasına yol açtı" diye ekledi.

"Bu sorunların kapsam dahilinde olduğunu ve rapor edilmesi gerektiğini açıkça belirtmek için HackerOne program kurallarımızı güncelledik."

Valve araştırmacının yasağını gözden geçirecek

Sözcü ayrıca Kravets'in ilk raporunu geri çevirmenin "bir hata olduğunu" ve şirketin uygun eylemleri belirlemek için bu özel durumu gözden geçirdiğini söyledi.

Bugün erken saatlerde sorulduğunda Kravets şunları söyledi: ZDNet Valve'ın HackerOne hata ödül programında hâlâ yasaklı olduğunu söyledi.

Vana da gönderildi Valve'ın sıfır günleri için yeni düzeltmeler Kravets tarafından beta istemcisine yapılan bir güncellemede bulundu. Test edilip incelendikten sonra bu yamalar ana istemcide birleştirilecektir.

Bu yılın başlarında HackerOne, Valve'ın hata ödül programını şu şekilde sıraladı: İlk 20 listesinde 9. sırada platformunda çalışan en iyi hata ödül programlarından biri.

"Son iki yılda topluluktaki 263 güvenlik araştırmacısıyla işbirliği yaptık ve onları ödüllendirdik Valve, yaklaşık 500 güvenlik sorununu belirlememize ve düzeltmemize yardımcı oluyor ve 675.000 dolardan fazla ödül ödüyor." söz konusu.