前些日子有安全研究员向外界公开,著名的游戏平台Steam一直存在有一个高危的零日漏洞,严重影响用户系统的安全。而他向Valve报告这个漏洞并请他们修复的时候被拒绝了。不过Valve最终还是修复了这个漏洞并更新了他们的漏洞回报奖励计划,同时还重审了之前对于安全研究者的封禁。
这个零日漏洞是一个本地提权漏洞,会让恶意软件通过Steam客户端来获得管理员权限从而取得整个系统的控制权。这个漏洞由一名俄罗斯的安全研究员Vasily Kravets在六月份发现,并很快提交给了Valve,不过由于官方的不作为甚至禁止他参与官方的漏洞回报奖励计划,他最终在45天后向外界公开了该漏洞的存在,随后不久,Valve便发布了客户端更新修复了该漏洞。
简单的说,在大众看来这件事情就像是Valve不想给安全研究人员奖励一样,一时间批评声喧嚣尘上。然而在今天Valve官方人员去给ZDNet的一封电子邮件中,他们将这件事情称为“一个巨大的误解”。他们在信中写道:
发言人同样承认拒绝Vasily Kravets的第一份报告是一个错误,他们正在对这种特殊情况进行审视,以确定他们该做出什么样的合适行动。不过在早些时候询问Vasily Kravets的时候,他说自己还是被ban的状态。就在昨天他还披露了Steam客户端另外一个零日漏洞,这两个零日漏洞都已经被Valve修复了,正在beta客户端中进行测试,不久会进入主客户端中。
年初的时候,HackerOne将Valve排在他们自己的最佳漏洞奖励平台榜单的第9名,一共20名。
游客 2019-08-25 16:04
该评论年代久远,荒废失修,暂不可见。
支持(0) | 反对(0) | 举报 | 回复
2#
游客 2019-08-25 10:13
该评论年代久远,荒废失修,暂不可见。
支持(2) | 反对(0) | 举报 | 回复
1#