Valve gibt Steam-Sicherheitsfehler zu, nachdem verbotene Forscher an die Öffentlichkeit gegangen sind

valve admits steam security flaw mistake after banned researcher goes public

Ventil

Valve hat zugegeben, dass es einen Fehler gemacht hat, als es die Einreichung eines Sicherheitsforschers abgelehnt hat, der potenzielle Fehler in Steam offengelegt hat. Die Bestätigung im Namen von Valve erfolgt kurz nachdem ein Forscher, Vasily Kravets, die Details einer Zero-Day-Sicherheitsanfälligkeit, die nach einer schlechten Interaktion mit dem Unternehmen möglicherweise innerhalb der Steam-Spielplattform ausgenutzt werden kann, öffentlich bekannt gegeben hat.



Vorläufer davon und laut Kravets hatte Valve sich geweigert, Bargeld für einen früheren Fehler bei der Erhöhung der Privilegien zu spucken, der vom Forscher aufgedeckt worden war. Das Unternehmen behauptete, die Schwere des Fehlers sei zu niedrig, um eine Auszahlung zu bestätigen. Valve verbot sogar Kravets von seinem HackerOne hat ein Bug-Bounty-Programm gepflegt nach einem weiteren Streit in dieser Angelegenheit (via Das Register ).



Als Reaktion darauf hat Kravets einen weiteren Fehler bei der Erhöhung der Berechtigungen in der Steam-App öffentlich bekannt gegeben. Die Schwere dieses Fehlers ist bis zuletzt gleich und würde eine Form des lokalen Zugriffs erfordern, um ihn auszunutzen. Kravets argumentiert jedoch, dass dies aufgrund der Natur von Steam als Marktplatz zum Herunterladen und Installieren von Apps von Drittanbietern möglicherweise nicht allzu schwer zu erreichen ist. Ein zwielichtiger Entwickler mit einem nicht vertrauenswürdigen Installationsprogramm könnte alles sein, was Sie brauchen, um den Fehler auszunutzen und Ihren PC bis zu den USB-Anschlüssen mit Malware zu füllen.

Aber Valve hat jetzt akzeptiert, dass es möglicherweise einen Fehler bei der Klassifizierung dieser Fehler gemacht hat.



'Unsere HackerOne-Programmregeln sollten nur Berichte ausschließen, in denen Steam angewiesen wurde, zuvor installierte Malware auf dem Computer eines Benutzers als dieser lokale Benutzer zu starten', sagt Valve Das Register . 'Stattdessen führte eine Fehlinterpretation der Regeln auch zum Ausschluss eines schwerwiegenderen Angriffs, bei dem auch lokale Privilegien durch Steam eskaliert wurden.'

Dampfspeicher

„Wir haben unsere HackerOne-Programmregeln aktualisiert, um ausdrücklich darauf hinzuweisen, dass diese Probleme im Umfang liegen und gemeldet werden sollten. In den letzten zwei Jahren haben wir mit 263 Sicherheitsforschern in der Community zusammengearbeitet und diese belohnt, um rund 500 Sicherheitsprobleme zu identifizieren und zu beheben. Dabei wurden Kopfgelder in Höhe von über 675.000 USD ausgezahlt. Wir freuen uns darauf, weiterhin mit der Sicherheitsgemeinschaft zusammenzuarbeiten, um die Sicherheit unserer Produkte durch das HackerOne-Programm zu verbessern. “



Das Bug-Bounty-Programm von Valve bietet jedem, der eine Sicherheitslücke in seinem System auftauchen und genau melden kann, die von einem schändlichen Agenten verwendet werden kann, um einen böswilligen Angriff auf einen Benutzer durch Verletzung von Systemberechtigungen auszuführen, Geldprämien. Jeder außer Kravets. Trotz der neuen Richtlinienänderungen von Valve ist er immer noch vom Programm ausgeschlossen (sie erwägen jedoch eine Aufhebung des Verbots).

Das Valve-Programm bietet mehr als 2.000 USD für bestimmte schwerwiegende Mängel. Dies verblasst jedoch im Vergleich zu den jüngsten von Microsoft Edge-Browser-Kopfgeldprogramm Das bietet bis zu 30.000 US-Dollar für die Offenlegung kritischer Mängel.

In Bezug auf die beiden Sicherheitslücken repariert Valve Berichten zufolge beide Aktualisierungen, die gerade stattfinden. Der Beta-Steam-Client behebt die Probleme vollständig, und einige erste Korrekturen wurden für alle Benutzer in der öffentlichen Version veröffentlicht.