在閥王國軟件中,某些東西不會轉彎。安全研究人員Vasily Kravets在幾週的時間內第二次發布了Windows客戶軟件中的0天缺陷的詳細信息,Steam是Publisher的在線視頻遊戲平台。脆弱性將使黑客能夠在其僅感染的機器上提高其訪問權限,並在必要時進行全面控制。研究人員做了二 影片來證明這一發現的YouTube。
與可能想到的相反,Vasily Kravets並不是一個不負責任的黑客,他在沒有警告任何人的情況下發布缺陷。令人擔憂的是,閥門不想听到任何聲音。該專家在6月初已經在Steam軟件中發現了類似的缺陷。他通過Hackerone通知了出版商,這是一個“ Bug Bounty”平台(這使安全研究人員可以為發現的缺陷獲得獎勵)。但是Valve拒絕了其報告,認為該缺陷沒有進入其定義的測試周圍。換句話說,這還不夠重要。同時,Valve和Hackeron禁止Vasily Kravets發布此故障的細節,這不是很合乎邏輯。
蒸汽破壞窗戶安全
Vasily Kravets仍然在他的博客上發布了他發現的細節。在此過程中,媒體的注意力推動了閥門發布更正...一周後繞過。簡而言之,這是草率的工作。正如他所期望的那樣,Kravets先生從Hackerone上的Bug Bounty de Valve驅逐出境。但是,他繼續在發布者的軟件中發現缺陷。因此,他決定將它們直接發佈在他的博客上。
在安全研究人員領域,這種情況大大濺出。實際上,專家不明白為什麼Valve將其從其薪酬計劃中提高了特權,最重要的是,為什麼要解決這個問題。馬特·尼爾森(Matt Nelson)發現了與瓦西里·克拉維斯(Vasily Kravets)相同的缺陷,他認為風險是真實的,因為蒸汽“打破Windows安全模型”。
@steam_games這並不是真正的工作方式。您無法選擇定義為漏洞的內容。您的軟件正在破壞Windows安全模型。
- Matt Nelson(@Enigma0x3)2019年8月12日
隱含的信息傳達是災難性的。因此,出版商在某種程度上同意他的軟件作為海盜的跳板。不確定這會為Windows上的超過1億Steam用戶而歡樂。