Valve는 러시아 개발자 Vasily Kravets가 HackerOne 프로그램에 따른 수상을 실수로 거부했다고 보고했습니다. 어떻게 The Register 에디션에서 스튜디오는 발견된 취약점을 수정하고 Kravets에 대한 보상을 고려할 것입니다.
7년 2019월 XNUMX일, 보안 전문가 Vasily Kravets는 Steam 로컬 권한 상승 취약점에 대한 기사를 게시했습니다. 이를 통해 모든 맬웨어가 Windows에 대한 영향력을 높일 수 있습니다. 이에 앞서 개발자가 밸브에 사전에 통보했지만, 회사는 응하지 않았다. HackerOne 전문가들은 이러한 오류에 대한 보상이 없다고 보고했습니다. 취약점이 공개된 후 HackerOne은 그에게 현상금 프로그램에서 제거된다는 통지를 보냈습니다.
나중에 Steam 취약점을 발견한 사람이 그뿐만이 아니라는 사실이 밝혀졌습니다. 또 다른 전문가인 Matt Nelson은 비슷한 문제에 대해 글을 썼고 그의 지원서도 거부되었다고 말했습니다.
이제 Valve는 해당 사건이 실수라고 밝혔으며 Steam에서 버그를 허용하는 원칙을 변경했습니다. 새로운 규정집에 따르면 악성 코드가 Steam을 통해 권한을 상승시킬 수 있는 모든 취약점은 개발자가 조사하게 됩니다.
출처 : 3dnews.ru