Valve berichtete, dass dem russischen Entwickler Vasily Kravets fälschlicherweise eine Auszeichnung im Rahmen des HackerOne-Programms verweigert wurde. Wie In der Ausgabe von The Register wird das Studio die erkannten Schwachstellen beheben und erwägen, Kravets eine Auszeichnung zu verleihen.
Am 7. August 2019 veröffentlichte der Sicherheitsspezialist Vasily Kravets einen Artikel über Schwachstellen bei der Eskalation lokaler Rechte bei Steam. Dadurch kann jede Schadsoftware ihren Einfluss auf Windows verstärken. Zuvor hatte der Entwickler Valve vorab benachrichtigt, das Unternehmen reagierte jedoch nicht. HackerOne-Spezialisten berichteten, dass es für solche Fehler keine Belohnungen gebe. Nachdem die Sicherheitslücke öffentlich bekannt wurde, schickte HackerOne ihm eine Mitteilung über die Entfernung aus dem Kopfgeldprogramm.
Später stellte sich heraus, dass er nicht der Einzige war, der die Steam-Sicherheitslücke entdeckte. Ein anderer Spezialist, Matt Nelson, sagte, er habe über ein ähnliches Problem geschrieben und sein Antrag sei ebenfalls abgelehnt worden.
Jetzt hat Valve erklärt, dass es sich bei dem Vorfall um einen Fehler gehandelt habe, und das Prinzip der Fehlerannahme auf Steam geändert. Gemäß dem neuen Regelwerk werden alle Schwachstellen, die es Malware ermöglichen, ihre Privilegien über Steam zu erweitern, von den Entwicklern untersucht.
Source: 3dnews.ru