Valve 軟體領域出現了嚴重問題。安全研究人員 Vasily Kravets 在幾週內第二次公佈了發行商在線視頻遊戲平台 Steam 的 Windows 用戶端軟體中的 0day 漏洞的詳細資訊。該漏洞允許駭客提升其剛感染的電腦的存取權限,並在必要時完全控制該電腦。研究人員進行了二 影片YouTube 證明了這一發現。
與人們的想像相反,Vasily Kravets 並不是一位在沒有警告任何人的情況下發布漏洞的不負責任的駭客。問題是 Valve 不想聽到任何消息。該專家早在六月初就已經在 Steam 的軟體中發現了類似的缺陷。他透過 HackerOne(一個「漏洞賞金」平台,允許安全研究人員因發現缺陷而獲得獎勵)通知了發布者。但 Valve 拒絕了其報告,認為該缺陷不屬於其定義的測試範圍。換句話說,它還沒有重要到需要補償的程度。同時,Valve 和 HackerOne 禁止 Vasily Kravets 發布該缺陷的詳細信息,這不太符合邏輯。
Steam 破壞了 Windows 安全性
瓦西里·克拉維茨 (Vasily Kravets) 仍然在他的部落格上公佈了他的發現細節。在此過程中,媒體的關注促使 Valve 發布了補丁……一周後該補丁被繞過。簡而言之,這是一份粗製濫造的工作。就 Kravets 先生而言,正如他所預料的那樣,他被禁止參與 Valve 對 HackerOne 的錯誤賞金活動。然而,他繼續發現出版商軟體中的缺陷。因此他決定將它們直接發佈在他的部落格上。
在安全研究人員的世界裡,這件事引起了很大的爭議。事實上,專家們不明白為什麼 Valve 將特權升級缺陷排除在其懲罰計劃之外,最重要的是,為什麼它會漫不經心地對待這個問題。 Matt Nelson 發現了 Vasily Kravets 相同的缺陷,他認為風險是真實存在的,因為 Steam“打破了Windows安全模型”。
@steam_games事實並非如此。您無法挑選您所定義的漏洞。您的軟體正在破壞 Windows 安全性模型。
— 馬特‧尼爾森 (@enigma0x3)2019 年 8 月 12 日
這隱含的訊息是可怕的。因此,在某種程度上,發行商同意其軟體成為盜版者的跳板。不確定這會為 Windows 上超過 1 億的 Steam 用戶帶來多少歡樂。
來源:瓦西里·克拉維茨
