Valve認錯了，開始接受LPE等級的漏洞回報 - Steam

在拒絕對本地端權限擴張類型的漏洞發抓漏獎金之後，Valve認錯了，開始接受LPE等級的
漏洞回報

https://www.ithome.com.tw/news/132602

之前有位研究人員透過Valve於HackerOne上執行的漏洞獎勵專案，回報了Steam程式的本
地端權限擴張漏洞，但被Valve以漏洞資格不符而拒絕提供獎金，現在Valve對外坦承當時
做了錯誤的決定

文/陳曉莉 | 2019-08-23發表

就在代號為Felix的俄羅斯安全研究人員Vasily Kravets連續公開揭露兩個Steam客戶端程
式的權限擴張漏洞之後，Valve向媒體發出了聲明，表示拒絕Felix所提出的第一個漏洞是
錯誤的。

Felix當初透過Valve於HackerOne上執行的抓漏獎勵專案，回報了Steam程式的本地端權限
擴張漏洞，但被以超出抓漏獎勵專案的範圍而拒絕，於是Felix在不被同意的狀況下公開
了該漏洞，接著即成為該專案的拒絕往來戶，使得本周Felix再度對外揭露Steam程式的第
二個本地端權限擴張（Local Privilege Escalation，LPE）漏洞。

在媒體紛紛要求Valve評論此事時，Valve發表聲明，坦承當初認為Felix所提出的漏洞超
出抓漏獎勵專案範圍是不對的，該專案唯一排除的是Steam程式用來發動電腦上既有惡意
程式的漏洞，對規則的誤解，使得他們錯失了更嚴重的本地端權限擴張漏洞。

因此，Valve已變更HackerOne平台上的專案規則，明確指出任何允許惡意程式不必經由管
理憑證就能藉由Steam擴充權限的漏洞，或是任何未經授權即可變更Steam權限的漏洞，都
在抓漏範圍內。

而對於外界質疑Valve是因不想支付獎金才選擇忽視Felix所提報的漏洞，Valve也說，該
公司在過去兩年內已與263名安全研究人員合作，找出及解決了約500個安全漏洞，支付了
超過67.5萬美元的獎金，期望能繼續與安全社群合作以改善產品的安全性。

此外，Valve也正在修補Felix所公布的第二個本地端權限漏洞。不過，Felix向媒體透露
，截至本周四（8月22日）Valve或HackerOne並未跟他聯繫，且他依舊遭到該抓漏專案的
封鎖。

-------------

抓漏獎勵的目的本來就是為了防止漏洞外洩的收購行為，封鎖鑽漏洞的駭客根本蠢蛋，

公布還算有良心，真有心要搞就上暗網販售給駭客團體或自己亂搞一通就好了



--