Valve 報道稱,俄羅斯開發商 Vasily Kravets 在 HackerOne 計劃中被錯誤地拒絕授予獎項。 如何 在 The Register 版本中,工作室將修復偵測到的漏洞,並考慮向 Kravets 頒發獎項。
7 年 2019 月 XNUMX 日,安全專家 Vasily Kravets 發表了一篇有關 Steam 本地權限提升漏洞的文章。 這使得任何惡意軟體都可以增加其對 Windows 的影響。 此前,開發商提前通知了Valve,但該公司並未回應。 HackerOne 專家報告稱,此類錯誤不會得到任何獎勵。 在該漏洞被公開披露後,HackerOne 向他發送了從賞金計劃中刪除的通知。
後來事實證明,他並不是唯一發現 Steam 漏洞的人。 另一位專家馬特尼爾森(Matt Nelson)表示,他寫過類似的問題,他的申請也被拒絕了。
現在Valve已聲明該事件是一個錯誤,並改變了Steam接受Bug的原則。 根據新的規則手冊,任何允許惡意軟體透過 Steam 提升權限的漏洞都將受到開發人員的調查。
來源: 3dnews.ru