Gioco gigante Valvola ha chiamato l’allontanamento di un ricercatore di sicurezza che ha segnalato una vulnerabilità nella società di gioco Steam client “un errore”.
Una Valvola di rappresentanza detto a ZDNet in una e-mail oggi che la società ha fornito le correzioni per il client di Steam, ha aggiornato il suo bug bounty program regole, e la revisione del ricercatore bando pubblico bug bounty program.
Il bug reporting debacle
La società di reazione, che arriva dopo le critiche per il modo povero e il HackerOne personale (quando la Valvola viene eseguito il suo bug bounty program), gestito da un report sulle vulnerabilità nel client di gioco Steam.
La segnalazione è stata presentata da russo ricercatore di sicurezza Vasily Kravets il mese scorso, ma il HackerOne personale detto che l’errore è stato il programma dell’ambito, e che la Valvola non ha intenzione di patch.
Il bug è stato un aumento di privilegi locali (LPE) problema, che non è così pericoloso come l’esecuzione di codice remoto (RCE) vulnerabilità, ma pericoloso, tuttavia, in quanto consente di malware già presenti su un computer per utilizzare il Vapore app per ottenere i diritti di amministratore e di prendere il pieno controllo su un host.
Anche se la Valvola non ha intenzione di risolvere il bug, il HackerOne personale proibì Kravets dal rivelare pubblicamente la vulnerabilità, il che significa decine di milioni di gli utenti di Steam sarebbe rimasto vulnerabile agli attacchi.
Kravets eventualmente comunicati i dettagli circa la vulnerabilità, è stato vietato dalla Valvola di bug bounty program, come risultato.
Valvola spedito un fix per il bug Kravets diffusi, ma un altro ricercatore ha trovato un modo per aggirare giro di poche ore.
Kravets poi pubblicati i dettagli circa un secondo client di Steam LPE sul suo sito web, essere in grado di report tramite la società bug bounty program.
In tutto questo, la Valvola si è trovato con la torta sul suo volto, che è considerata la media azienda che non vogliono pagare un bug bounty ricompensa e per il divieto di un ricercatore per la segnalazione di un pericoloso bug.
Valvola di modifica bug bounty program regole
La maggior parte di discussione e di critica finalizzata alla Valvola era circa il fatto che la società è stata ignorando LPE vulnerabilità, una classe di falle di sicurezza che quasi tutte le aziende patch nei loro prodotti.
Ma in una e-mail a ZDNet oggi, Valvola chiamato tutto questo un enorme equivoco.
“Il nostro HackerOne le regole del programma erano destinati solo per escludere rapporti di Vapore di essere istruiti per avviare precedentemente installato il malware sulla macchina di un utente come utente locale,” Valve ha detto.
“Invece, l’erronea interpretazione delle norme, inoltre, ha portato all’esclusione di un grave attacco che ha anche eseguito locale privilege escalation attraverso il Vapore,” ha aggiunto.
“Abbiamo aggiornato il nostro HackerOne le regole del programma di dichiarare esplicitamente che questi problemi sono di portata e dovrebbe essere segnalato.”
Valvola a scrivere una recensione di ricercatore ban
Il portavoce ha anche detto che allontana Kravets’ primo rapporto “è stato un errore”, e che l’azienda sta rivedendo questa particolare situazione per determinare le azioni appropriate.
Quando chiesto, prima di oggi, Kravets detto a ZDNet che era ancora vietato su Valvola HackerOne bug bounty program.
Valve ha inoltre fornito nuove correzioni per Valvola zero-giorni da Kravets in un aggiornamento per il suo client beta. Una volta testato e recensito, queste patch verranno unite il principale cliente.
All’inizio di quest’anno, HackerOne classificato Valvola di bug bounty program su #9 in una Top 20 dei migliori bug bounty programmi in esecuzione sulla propria piattaforma.
“Negli ultimi due anni, abbiamo collaborato con e premiati 263 ricercatori di sicurezza nella comunità ci aiuta a identificare e correggere circa 500 questioni di sicurezza, di pagare più di $675,000 in taglie,” Valve ha detto.
Sicurezza
Ho installato Verizon connessione indesiderata blocca chiamate e sembra tipo di aiuto
La fine di una lumaca mail: Nostro corriere derubato di noi e ora l’USPS è morto per me
Top 10 sicurezza estensioni per Google Chrome
Perché stiamo ancora perdendo la lotta contro gli attacchi di phishing (ZDNet YouTube)
Trump ribadisce Huawei come “minaccia per la sicurezza nazionale’ (CNET)
Le violazioni dei dati è aumentato del 54% e, nel 2019 finora (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati