2019年8月26日

Steam再被爆出安全性漏洞 Valve做法有点不厚道

作者 悠虾君

根据Kravets公布资讯,他再次发现Steam客户端程序存在新的漏洞,而且这次的漏洞不需要符号连接(symbolic links)便能取得控制电脑权限。换句话说,只要是你从Steam下载被植入恶意程序码的游戏程序,电脑便有可能遭到安全性入侵。

不过,Kravets这次之所以再度通过公开网络发布讯息,原因正是HackerOne漏洞赏金平台通知他的回报已遭Valve排除封锁,意即Valve拒绝再接受Kravets的漏洞回报。

因为HackerOne计划的封锁,Kravets自然无法由正规渠道取得自己发现漏洞应得的奖励,只得在网络上直接公开,此举也获得其他网络安全人员的关注,不理解Valve为何封锁外界的漏洞回报。

这起事件经英国科技媒体The Register报道后,让Steam漏洞再度获得广大玩家关注,也令Valve迅速出面向The Register回应,并表示这一切都是他们与HackerOne网站的合作规章有误解所导致。

“在我们的HackerOne计划规则中,原先只有那些在启动Steam程序之前,客户端使用者电脑就被植入恶意软体的漏洞回报会排除掉,”Valve向The Register解释:“不过,这项规则的误解确实导致我们过滤掉某些通过客户端权限扩张来对Steam程序进行严重入侵攻击的回报。”

“我们已经更新了HackerOne的计划规则,以明确说明在范围内的哪些问题应该呈告。”Valve进一步解释:“在过去两年,我们在社群的帮助下与263位安全人员有过合作并给予奖金,修正了约500项安全问题,也付了超过67.5万美元的赏金。我们期望能继续与网络安全社群合作,并通过HackerOne计划增进我们产品的安全性。”

最终,这项漏洞终于获得Valve承认并且祭出修正,还给Kravets应有的公道。