Valve пояснила ситуацію з уразливими в Steam

На початку серпня фахівець з інформаційної безпеки Василь Кравець опублікував дані про уразливості в клієнта Steam. Вона дозволяла піднімати привілеї та виконувати команди на більш високому рівні, ніж зазвичай. Кравець раніше повідомив про це в Valve через HackerOne в рамках програми buy bounty, але в компанії відмовилися розглядати його заявку. Причому двічі.

Пізніше його висновки підтвердив експерт Метт Нельсон, але його звіт також заблокували і заборонили повідомляти про це. Пізніше Valve все ж випустила патч. Але, як виявилося, його легко обійти.

А на цьому тижні Василь Кравець опублікував докладний звіт ще про одну уразливості в клієнта Steam. Вона також пов’язана з підвищенням привілеїв. Найцікавіше, що повідомити про це дослідник вже не може, оскільки його аккаунт на HackerOne заблокували.

По суті, компанія відмовилася виправляти проблеми і поставила під загрозу близько 100 мільйонів користувачів Windows. І лише вчора, 22 серпня, компанія все ж відреагувала на ситуацію. У бета-версії клієнта Steam були виправлені обидві уразливості.

Також було дано офіційний коментар щодо ситуації. У компанії заявили, що всьому виною невірне тлумачення правил платформи HackerOne, що призвело до вищезгаданого інциденту. У Valve заявили, що оновили правила. Що стосується першого повідомлення експерта то його блокування назвали помилкою. Правда, бан поки не зняли.

Реклама