Valve ha riferito che allo sviluppatore russo Vasily Kravets è stato erroneamente negato un premio nell'ambito del programma HackerOne. Come edizione di The Register, lo studio risolverà le vulnerabilità rilevate e prenderà in considerazione l'assegnazione di un premio a Kravets.
Il 7 agosto 2019, lo specialista della sicurezza Vasily Kravets ha pubblicato un articolo sulle vulnerabilità legate all'escalation dei privilegi locali di Steam. Ciò consente a qualsiasi malware di aumentare la sua influenza su Windows. Prima di ciò, lo sviluppatore aveva informato in anticipo Valve, ma la società non aveva risposto. Gli specialisti di HackerOne hanno riferito che non sono previste ricompense per tali errori. Dopo che la vulnerabilità è stata resa pubblica, HackerOne gli ha inviato un avviso di rimozione dal programma bounty.
Successivamente si è scoperto che non era l'unica persona a scoprire la vulnerabilità di Steam. Un altro specialista, Matt Nelson, ha detto di aver scritto di un problema simile e anche la sua domanda è stata respinta.
Ora Valve ha dichiarato che l'incidente è stato un errore e ha cambiato il principio di accettazione dei bug su Steam. Secondo il nuovo regolamento, qualsiasi vulnerabilità che consenta al malware di aumentare i propri privilegi tramite Steam verrà indagata dagli sviluppatori.
Fonte: 3dnews.ru