Valve は、ロシアの開発者 Vasily Kravets が HackerOne プログラムに基づく受賞を誤って拒否されたと報告しました。 どうやって The Register 版のリリースに合わせて、スタジオは検出された脆弱性を修正し、Kravets に賞を発行することを検討します。
7 年 2019 月 XNUMX 日、セキュリティ専門家 Vasily Kravets は、Steam ローカル権限昇格の脆弱性に関する記事を公開しました。 これにより、あらゆるマルウェアが Windows への影響力を高めることが可能になります。 これに先立ち、開発者はValveに事前に通知したが、同社は応じなかった。 HackerOne の専門家は、そのようなエラーには報酬はないと報告しました。 この脆弱性が公表された後、HackerOne は彼に報奨金プログラムからの除外通知を送りました。
Steam の脆弱性を発見したのは彼だけではなかったことが後に判明しました。 別の専門家マット・ネルソン氏も同様の問題について書いたが、申請も却下されたと述べた。
現在、Valve はこの事件は間違いであったと述べ、Steam でのバグ受け入れの原則を変更しました。 新しいルールブックによると、マルウェアが Steam を通じて権限を昇格できる脆弱性は開発者によって調査されることになります。
出所: 3dnews.ru