Valve 软件领域出现了严重问题。安全研究人员 Vasily Kravets 在几周内第二次公布了发行商在线视频游戏平台 Steam 的 Windows 客户端软件中的 0day 漏洞的详细信息。该漏洞允许黑客提升其刚刚感染的计算机的访问权限,并在必要时完全控制该计算机。研究人员进行了二 视频YouTube 证明了这一发现。
与人们的想象相反,Vasily Kravets 并不是一位在没有警告任何人的情况下发布漏洞的不负责任的黑客。问题是 Valve 不想听到任何消息。该专家早在六月初就已经在 Steam 的软件中发现了类似的缺陷。他通过 HackerOne(一个“漏洞赏金”平台,允许安全研究人员因发现缺陷而获得奖励)通知了发布者。但 Valve 拒绝了其报告,认为该缺陷不属于其定义的测试范围。换句话说,它还没有重要到需要补偿的程度。同时,Valve 和 HackerOne 禁止 Vasily Kravets 发布该缺陷的详细信息,这不太符合逻辑。
Steam 破坏了 Windows 安全性
瓦西里·克拉维茨 (Vasily Kravets) 仍然在他的博客上公布了他的发现细节。在此过程中,媒体的关注促使 Valve 发布了补丁……一周后该补丁被绕过。简而言之,这是一份粗制滥造的工作。就 Kravets 先生而言,正如他所预料的那样,他被禁止参与 Valve 对 HackerOne 的错误赏金活动。然而,他继续发现出版商软件中的缺陷。因此他决定将它们直接发布在他的博客上。
在安全研究人员的世界里,这件事引起了很大的争议。事实上,专家们不明白为什么 Valve 将特权升级缺陷排除在其惩罚计划之外,最重要的是,为什么它会漫不经心地对待这个问题。 Matt Nelson 发现了与 Vasily Kravets 相同的缺陷,他认为风险是真实存在的,因为 Steam“打破了Windows安全模型”。
@steam_games事实并非如此。您无法挑选您所定义的漏洞。您的软件正在破坏 Windows 安全模型。
— 马特·尼尔森 (@enigma0x3)2019 年 8 月 12 日
这隐含的信息是可怕的。因此,在某种程度上,发行商同意其软件成为盗版者的跳板。不确定这会给 Windows 上超过 1 亿的 Steam 用户带来多少欢乐。
来源:瓦西里·克拉维茨
