Valve признала уязвимости в Steam, которые обнаружил русский хакер

Российский специалист Василий Кравец с помощью программы HackerOne сообщил о двух уязвимостях Steam. Сотрудники компании посчитали, что подобные ошибки должны быть вознаграждены. Тогда хакер выложил описание уязвимостей в открытый доступ, за что получил бан на HackerOne.

Позже об инциденте узнала Valve, признав наличие бреши в безопасности Steam. Также компания извинилась за сложившуюся ситуацию, которая была вызвана простым недопониманием.

Правила нашей программы HackerOne должны были исключить все сообщения о возможности запустить через Steam уже установленное вредоносное ПО в качестве локального пользователя.

Однако из-за неверной трактовки в число таких исключений попала куда более серьёзная атака, позволявшая провести LPE (позволяет выполнить код на PC пользователя с максимальными привилегиями, — прим. Shazoo) через Steam.

Мы уже обновили правила программы HackerOne, чтобы пояснить, что такие уязвимости входят в неё.

Тем не менее, Valve не сообщила, получит ли Кравец вознаграждение или все же нет. Также не ясно, снимут ли со специалиста блокировку на HackerOne, но найденные уязвимости вскоре будут устранены.

Больше статей на Shazoo
Тэги:
Читать комментарии на сайте