ПК игровой гигант клапана заявил, что запрет на исследования безопасности, которые сообщили, что уязвимости нулевого дня в своей паровой игровой клиент был “ошибкой”.
В прошлом месяце российский исследователь безопасности Василий Кравец подал отчет об ошибке, в котором он сообщил, что пара была уязвима для нулевого дня, которые оставили пользователи Windows 10 атаки.
Однако, в то время HackerOne (которая работает клапан баг баунти программы) сказал ему, что ошибку он обнаружил не было программы объем и клапан не собирался латать его. Ошибка в вопросе местных привилегий (ЖФЭ) вопрос, который позволит вредоносных программ уже присутствующих на устройстве пользователя, чтобы использовать клапан в клиент Steam, чтобы получить права администратора и получить полный контроль над системой.
- Пара геймеров предупредил о системе безопасности Windows 10 риск
- Яблоко ИБП баг баунти награды в безопасности пуш
- Компания Microsoft выплатила миллионы ошибок щедроты в прошлом году
Персонал HackerOne также запретил Кравец из публичного раскрытия уязвимости, но в конце концов он поступил так или иначе и был запрещен от участия в программе клапана ошибка головами. Клапан сделал патч ошибка раскрыта Кравец, но затем другой исследователь нашел еще один баг только спустя несколько часов. Затем Кравец опубликовала подробности о втором плз он нашел в Steam клиент компании по состоянию он был не в состоянии сообщить об этом через соответствующие каналы.
Клапан программы ошибка щедрости
Клапан получил много критики за игнорирование плз уязвимостей как они достаточно серьезны, что большинство других компаний выпускают патчи для них, когда обнаружил в своих продуктах.
В электронное письмо на сайт ZDNet, клапан пояснил, что вся ситуация была массивная непонимания, сказав:
«Наши правила программу HackerOne были предназначены только для исключения доклады пара, поручил запустить ранее установленных программ на компьютере пользователя как локальный пользователь. Вместо толкования правил также ведет к исключению более серьезного нападения, которое также выполняется местное повышение привилегий через Steam. Мы обновили наши правила программу HackerOne, чтобы четко заявить, что эти вопросы находятся в данной области и должны быть представлены».
В обновление для бета-клиента Steam, Valve уже выпустила исправление для уязвимости нулевого дня обнаружены Кравец и после того, как они испытаны и проверены, эти патчи будут выпущены для своего главного клиента.
- Защитите свой ПК с лучшей бесплатной антивирусной программы 2019 года
Через Сайт ZDNet
Клапан