今年 6 月,由俄羅斯網路安全人員 Vasily Kravets 向 Valve 回報 Steam 程式有著「第零日」權限擴張漏洞(Privilege Escalation 0day)卻遭打回票,經 45 天無取得回應便在網路公開發表,而 Valve 則隨即修正漏洞且並未給付賞金。如今,Kravets 再次揭露 Steam 另外一項第零日漏洞,同時公開自己遭 Valve 封鎖回報一事引來社群嘩然。
根據 Kravets 公布資訊,他再次發現 Steam 客戶端程式存在新的漏洞,而且這次的漏洞不需要符號連結(symbolic links)便能取得控制電腦權限。換句話說,只要是你從 Steam 下載被植入惡意程式碼的遊戲程式,電腦便有可能遭到安全性入侵。
不過,Kravets 這次之所以再度透過公開網路發布訊息,原因正是 HackerOne 漏洞賞金平台通知他的回報已遭 Valve 排除封鎖,意即 Valve 拒絕再接受 Kravets 的漏洞回報。
因為 HackerOne 計畫的封鎖,Kravets 自然無法由正規管道取得自己發現漏洞應得的獎勵,只得在網路上直接公開,此舉也獲得其他網路安全人員的關注,不理解 Valve 為何封鎖外界的漏洞回報。
That is concerning, if you were to pair this with a vulnerability like this one (I know it's patched but still) https://t.co/GTpNGDwOYm you could run malicious code without needing any user interaction/local access at all
— Allen (@FMC0RE) August 21, 2019
這起事件經英國科技媒體 The Register 報導後,讓 Steam 漏洞再度獲得廣大社群關注,也令 Valve 迅速出面向 The Register 回應,並表示這一切都是他們與 HackerOne 網站的合作規章有誤解所導致。
「在我們的 HackerOne 計畫規則中,原先只有那些在啟動 Steam 程式之前,客戶端使用者電腦就被植入惡意軟體的漏洞回報會排除掉,」Valve 向 The Register 解釋:「不過,這項規則的誤解確實導致我們過濾掉某些透過客戶端權限擴張來對 Steam 程式進行嚴重入侵攻擊的回報。」
「我們已經更新了 HackerOne 的計畫規則,以明確說明在範圍內的哪些問題應該呈告。」Valve 進一步解釋:「在過去兩年,我們在社群的幫助下與 263 位安全人員有過合作並給予獎金,修正了約 500 項安全問題,也付了超過 67.5 萬美元的賞金。我們期望能繼續與網路安全社群合作,並透過 HackerOne 計畫增進我們產品的安全性。」
Hey, you are win!) Valve was changed his political for LPE bugs.) Now LPE bugs in scope. https://t.co/hZi41cGD0h
— B.KooRy (@b_koory) August 22, 2019
最終,這項漏洞終於獲得 Valve 承認並且祭出修正,還給 Kravets 應有的公道。
