Valve 报道称,俄罗斯开发商 Vasily Kravets 在 HackerOne 计划中被错误地拒绝授予奖项。 如何 在 The Register 版本中,工作室将修复检测到的漏洞,并考虑向 Kravets 颁发奖项。
7 年 2019 月 XNUMX 日,安全专家 Vasily Kravets 发表了一篇有关 Steam 本地权限提升漏洞的文章。 这使得任何恶意软件都可以增加其对 Windows 的影响。 此前,开发商提前通知了Valve,但该公司并未回应。 HackerOne 专家报告称,此类错误不会得到任何奖励。 该漏洞被公开披露后,HackerOne 向他发送了从赏金计划中删除的通知。
后来事实证明,他并不是唯一发现 Steam 漏洞的人。 另一位专家马特·尼尔森(Matt Nelson)表示,他写过类似的问题,他的申请也被拒绝了。
现在Valve已声明该事件是一个错误,并改变了Steam接受Bug的原则。 根据新的规则手册,任何允许恶意软件通过 Steam 升级权限的漏洞都将受到开发人员的调查。
来源: 3dnews.ru