Un russo, ricercatore di sicurezza ha pubblicato i dettagli di un giorno zero Steam client di gioco. Questa è la seconda a Vapore zero-day, il ricercatore ha reso pubblico nelle ultime due settimane.
Tuttavia, mentre il ricercatore di sicurezza ha riferito il primo a Valvola e ho cercato di sistemarlo prima di divulgazione al pubblico, ha detto che non poteva fare lo stesso con la seconda, perché la società lo vietato dalla presentazione di ulteriori segnalazioni di bug, tramite il suo pubblico bug bounty program sul HackerOne piattaforma.
Valvola viene criticato
L’intera catena di eventi dietro la divulgazione al pubblico di questi due zero-giorni ha causato un po ‘ di dramma e discussioni in infosec comunità.
Tutti i commenti negativi sono stati finalizzati alla Valvola e il HackerOne personale, con entrambi acused di un comportamento non professionale.
io sono deluso dal fatto che la valvola fa questo genere di cose https://t.co/z1JPKJmHhQ
— Dᵈăᵃnᶰ Ťᵗeᵉnᶰtᵗlᶫeᵉrʳ (@Viss) 21 Agosto 2019
I ricercatori di sicurezza e di regolare il Vapore gli utenti più esperti sono pazzo, perché Valvola rifiutò di riconoscere il problema segnalato come un problema di sicurezza, e ha rifiutato di applicare la patch.
Quando il ricercatore di sicurezza-nome di Vasily Kravets– voluto rivelare pubblicamente la vulnerabilità, un HackerOne membro del personale proibì di farlo, anche se la Valvola non aveva alcuna intenzione di risolvere il problema — efficacemente cercando di evitare che il ricercatore consentendo agli utenti di sapere che c’è stato un proble con il client di Steam a tutti.
Kravets ho lavorato per la pubblicazione di dettagli circa il Vapore zero-day, che è stata un’acquisizione di privilegi più elevati (anche conosciuto come un locale “privilege escalation”) bug che ha permesso ad altre applicazioni o malware sul computer di un utente per abuso il client di Steam per eseguire codice con i privilegi di amministratore.
Kravets ha detto che era vietato dalla piattaforma seguendo la divulgazione al pubblico di il primo giorno zero. I suoi bug report è stato pesantemente coperto in media, e la Valvola di fatto alla fine a spedire una correzione, più come una reazione a tutte le bad premere la società era sempre.
La patch è stata quasi immediatamente, si è dimostrato insufficiente, e un altro ricercatore di sicurezza ha trovato un modo semplice per andare in giro quasi subito.
Ho trovato un modo per bypassare il fix. Il bypass richiede l’eliminazione di un file in un nonadmin-scrivibile, quindi, credo sia fuori portata per la Valvola. Write-up: https://t.co/Lalum8LTvY cc @PsiDragon @enigma0x3 @steam_games #infosec #vapore #bugbounty https://t.co/qIylEG7u2L
— Xiaoyin Liu (@general_nfs) 15 agosto 2019
Valvola pasticciato lo stesso bug report due volte
Inoltre, un ben nota e rispettata ricercatore di sicurezza di nome Matt Nelson ha anche rivelato che ha trovato lo stesso identico bug, ma dopo Kravets, che anch’egli ha riferito alla Valvola HackerOne programma, solo per passare attraverso una simile brutta esperienza come Kravets.
Nelson ha detto che la Valvola e HackerOne sono voluti cinque giorni per confermare il bug, si rifiutò di patch, e quindi bloccato il bug report quando Nelson voluto divulgare il bug pubblicamente e avvisare gli utenti.
Nelson, poi rilasciato proof-of-concept codice per il primo Vapore zero-day, e ha anche criticato la Valvola e HackerOne per la loro abysmall gestione della sua segnalazione.
L’azienda la colpa qui è la Valvola (a Vapore). Buona fortuna per il reporting di tutto ciò che non si adattano la loro merda bounty ambito. https://t.co/vLHmTQ0qmq
— Matt Nelson (@enigma0x3) 8 luglio 2019
Vorrei approfittare di questa Valvola fiasco ed evidenziare alcuni punti:
1. Non campo di applicazione il vostro programma in modo così stretto che rimuove completamente le cose come LPE
2. Se si, fornire ai ricercatori un posto dove andare che non è Twitter.
3. Non bloccare un problema quando la divulgazione è menzionato pic.twitter.com/lygNLkiUiz— Matt Nelson (@enigma0x3) 12 agosto 2019
Secondo il Vapore zero-day diffusi oggi
Oggi, Kravets pubblicato i dettagli di una seconda Valvola di zero-giorno, che è un altro EoP/LPE nel client di Steam, consentendo applicazioni malintenzionati di ottenere diritti di amministratore attraverso la Valvola del Vapore app. Demo del secondo a Vapore zero-day sono incorporati di seguito, e una tecnica di scrittura-up è disponibile sul Kravets’ sito.
Una Valvola di portavoce non ha risposto a una richiesta di commento, ma la società raramente i commenti su problemi di sicurezza.
Problema: Valvola di non visualizzare EoP/LPE come le falle di sicurezza
Tutti Valve problemi sembrano venire dal fatto che la società ha posto EoP/LPE vulnerabilità come “out-of-scope” per la sua HackerOne piattaforma, il che significa che l’azienda non li problemi di sicurezza.
Nelson, un ricercatore di sicurezza che ha fatto un nome per se stesso per trovare un gran numero di bug nei prodotti Microsoft, non è d’accordo con Valvola di decisione.
@steam_games che non è proprio come funziona. Non è possibile scegliere ciò che si definisce come una vulnerabilità. Il software è di rompere il modello di protezione di Windows.
— Matt Nelson (@enigma0x3) 12 agosto 2019
EoP/LPE vulnerabilità non può permettere che una minaccia attore hack remoto app o un computer. Sono le vulnerabilità della vittima di abusi durante la post-sfruttamento, soprattutto per evitare che gli attacchi possono prendere il pieno controllo su un bersaglio, guadagnando root/admin/sistema di diritti.
Mentre la Valvola di non considerare queste come le falle di sicurezza, di chiunque altro. Per esempio, Microsoft patch decine di EoP/LPE difetti di ogni mese, e OWASP ritiene EoP/LPE come il quinto più pericolosa falla di sicurezza nel suo famigerato Top 10 Vulnerabilità elenco.
Rifiutando di patch il primo giorno zero, Valvola di toccare involontariamente inviato un messaggio che non si cura circa la sicurezza del suo prodotto, mettendo i 100+ milioni di utenti Windows in pericolo il semplice fatto di avere il client di Steam installato sul proprio computer.
Sicuro! Valvola di diritto, a suo modo. Un utente malintenzionato può utilizzare un EoP/LPE a rompere in un Vapore client dell’utente. Questo è un dato di fatto. Ma, non è questo il punto.
Quando gli utenti di installare il client di Steam sul loro computer, anche non aspettatevi l’app per essere un trampolino di lancio per malware o altri attacchi.
Un’app e di sicurezza per gli utenti è più che l’esecuzione di codice remoto (RCE) bug. Altrimenti, se EoP/LPE bug non erano un grosso problema, tutti gli altri non preoccuparsi di curarli entrambi.
Più vulnerabilità di report:
Backdoor codice 11 Ruby librariesMoscow della blockchain sistema di voto è rotto un mese prima delle elezioni
Unpatchable falla di sicurezza popolare SoC boardsiPhone attenzione: Apple errore genera nuovi jailbreak, sicurezza threatsBackdoor trovato in Webmin, un popolare utility web-based per la gestione di Unix serversVulnerability in Microsoft CTF protocollo torna a Windows XPGoogle pagano fino a $30.000 per la segnalazione di un bug di Chrome CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati