基於Steam客戶端程式爆發二起權限擴張漏洞,Valve已變更HackerOne平台上的專案規則,明確指出任何允許惡意程式不必經由管理憑證就能藉由Steam擴充權限的漏洞,或是任何未經授權即可變更Steam權限的漏洞,都在抓漏範圍內。

就在代號為Felix的俄羅斯安全研究人員Vasily Kravets連續公開揭露兩個Steam客戶端程式的權限擴張漏洞之後,Valve向媒體發出了聲明,表示拒絕Felix所提出的第一個漏洞是錯誤的。

Felix當初透過Valve於HackerOne上執行的抓漏獎勵專案,回報了Steam程式的本地端權限擴張漏洞,但被以超出抓漏獎勵專案的範圍而拒絕,於是Felix在不被同意的狀況下公開了該漏洞,接著即成為該專案的拒絕往來戶,使得本周Felix再度對外揭露Steam程式的第二個本地端權限擴張(Local Privilege Escalation,LPE)漏洞。

在媒體紛紛要求Valve評論此事時,Valve發表聲明,坦承當初認為Felix所提出的漏洞超出抓漏獎勵專案範圍是不對的,該專案唯一排除的是Steam程式用來發動電腦上既有惡意程式的漏洞,對規則的誤解,使得他們錯失了更嚴重的本地端權限擴張漏洞。

因此,Valve已變更HackerOne平台上的專案規則,明確指出任何允許惡意程式不必經由管理憑證就能藉由Steam擴充權限的漏洞,或是任何未經授權即可變更Steam權限的漏洞,都在抓漏範圍內。

而對於外界質疑Valve是因不想支付獎金才選擇忽視Felix所提報的漏洞,Valve也說,該公司在過去兩年內已與263名安全研究人員合作,找出及解決了約500個安全漏洞,支付了超過67.5萬美元的獎金,期望能繼續與安全社群合作以改善產品的安全性。

此外,Valve也正在修補Felix所公布的第二個本地端權限漏洞。不過,Felix向媒體透露,截至本周四(8月22日)Valve或HackerOne並未跟他聯繫,且他依舊遭到該抓漏專案的封鎖。


Advertisement

更多 iThome相關內容