E X P
  • 编辑
  • 评论
  • 标题
  • 链接
  • 查错
  • 图文
  • 拼 命 加 载 中 ...

    前些日子有安全研究员向外界公开,著名的游戏平台Steam一直存在有一个高危的零日漏洞,严重影响用户系统的安全。而他向Valve报告这个漏洞并请他们修复的时候被拒绝了。不过Valve最终还是修复了这个漏洞并更新了他们的漏洞回报奖励计划,同时还重审了之前对于安全研究者的封禁。

    这个零日漏洞是一个本地提权漏洞,会让恶意软件通过Steam客户端来获得管理员权限从而取得整个系统的控制权。这个漏洞由一名俄罗斯的安全研究员Vasily Kravets在六月份发现,并很快提交给了Valve,不过由于官方的不作为甚至禁止他参与官方的漏洞回报奖励计划,他最终在45天后向外界公开了该漏洞的存在,随后不久,Valve便发布了客户端更新修复了该漏洞。

    简单的说,在大众看来这件事情就像是Valve不想给安全研究人员奖励一样,一时间批评声喧嚣尘上。然而在今天Valve官方人员去给ZDNet的一封电子邮件中,他们将这件事情称为“一个巨大的误解”。他们在信中写道:

    我们HackerOne项目的规则仅仅旨在为了排除那些之前系统中就被安装有恶意软件,并且Steam被指示去打开这些软件的报告。相反,对于规则的误解也使得排除了更严重的攻击报告,比如通过Steam来进行本地提权攻击这样的报告。我们已经更新了HackerOne项目的条款,确保在范围之内的问题可以被明确说明并报告。

    发言人同样承认拒绝Vasily Kravets的第一份报告是一个错误,他们正在对这种特殊情况进行审视,以确定他们该做出什么样的合适行动。不过在早些时候询问Vasily Kravets的时候,他说自己还是被ban的状态。就在昨天他还披露了Steam客户端另外一个零日漏洞,这两个零日漏洞都已经被Valve修复了,正在beta客户端中进行测试,不久会进入主客户端中。

    在过去的两年中,我们已经收集并奖励了263位社区中的安全研究者,他们帮助我们找到并修复了大约500个安全问题,我们支付了约675000美元的奖金。

    年初的时候,HackerOne将Valve排在他们自己的最佳漏洞奖励平台榜单的第9名,一共20名。

    ×
    热门文章
    1英特尔透露Copilot本地运行条件:至少需要40 TOPS算力的NPU
    2英特尔Lunar Lake MX参考平台曝光:8核心CPU及GPU,集成LPDDR5X内存
    3矽速科技开发中的新掌机十分小巧,基于FPGA芯片打造
    4华硕发布RT-BE88U Wi-Fi 7双频路由器:10网口配置,无线速率达7200Mbps
    5京东方凭定价赢得苹果OLED订单,或成为第四代iPhone SE独家面板供应商
    6两个版本的微星Claw性能对比:酷睿Ultra 5的游戏性能几乎与酷睿Ultra 7相同
    7九州风神推出PN D/M系列电源:支持ATX 3.1规范,双金牌认证,399元起
    8《双人成行》销量突破1600万份,开发团队表示玩家的支持意味着一切
    9微星推出MAG 274UPF E2游戏显示器:4K@160Hz,采用Rapid IPS面板
    已有 2 条评论,共 4 人参与。
    登录快速注册 后发表评论
    • 游客  2019-08-25 16:04

      该评论年代久远,荒废失修,暂不可见。

      支持(0)  |   反对(0)  |   举报  |   回复

      2#

    • 游客  2019-08-25 10:13

      该评论年代久远,荒废失修,暂不可见。

      支持(2)  |   反对(0)  |   举报  |   回复

      1#

    登录 后发表评论,若无帐号可 快速注册 ,请留意 评论奖罚说明