Valve meldde dat de Russische ontwikkelaar Vasily Kravets ten onrechte een onderscheiding in het kader van het HackerOne-programma werd geweigerd. Hoe editie van The Register, zal de studio de gedetecteerde kwetsbaarheden oplossen en overwegen om een ββonderscheiding aan Kravets uit te reiken.
Op 7 augustus 2019 publiceerde beveiligingsspecialist Vasily Kravets een artikel over escalatieproblemen met lokale privileges in Steam. Hierdoor kan malware zijn invloed op Windows vergroten. Voordien bracht de ontwikkelaar Valve vooraf op de hoogte, maar het bedrijf reageerde niet. HackerOne-specialisten meldden dat er geen beloningen zijn voor dergelijke fouten. Nadat de kwetsbaarheid openbaar was gemaakt, stuurde HackerOne hem een ββbericht van verwijdering uit het premieprogramma.
Later bleek dat hij niet de enige persoon was die de Steam-kwetsbaarheid ontdekte. Een andere specialist, Matt Nelson, zei dat hij over een soortgelijk probleem schreef en dat zijn aanvraag ook werd afgewezen.
Nu heeft Valve verklaard dat het incident een vergissing was en het principe van het accepteren van bugs op Steam heeft veranderd. Volgens het nieuwe rulebook zal elke kwetsbaarheid waardoor malware zijn privileges via Steam kan escaleren, door ontwikkelaars worden onderzocht.
Bron: 3dnews.ru