Le géant du jeu sur PC, Valve, a déclaré que l'interdiction de la recherche sur la sécurité qui signalait une vulnérabilité zero-day dans son client de jeu Steam était "une erreur".
Le mois dernier, le chercheur en sécurité russe Vasily Kravets a déposé un rapport de bogue dans lequel il a déclaré que la paire était vulnérable aux attaques du jour zéro qui ont laissé les utilisateurs de Windows 10 derrière.
Cependant, à l'époque, HackerOne (qui gère le programme Valve Bug Bounty) lui a dit que le bogue qu'il avait trouvé n'était pas le programme de volume et que la valve n'allait pas le corriger. Un bogue dans un problème de privilège local (LPE) qui permettrait aux logiciels malveillants déjà présents sur l'appareil d'un utilisateur d'utiliser une valve dans le client Steam pour obtenir des droits d'administrateur et prendre le contrôle total du système.
- Un couple de joueurs a mis en garde contre le risque de sécurité de Windows 10
- Apple augmente les récompenses de la prime de bogue dans la poussée de sécurité
- Microsoft a payé des millions de primes d'erreur l'année dernière
Le personnel de HackerOne a également interdit à Kravets de divulguer publiquement la vulnérabilité, mais il l'a finalement fait quand même et a été interdit de participer au programme de vannes à têtes de bogue. Valve a créé un bogue de correctif découvert par Kravets, mais un autre chercheur a découvert un autre bogue quelques heures plus tard seulement. Kravets a ensuite publié des détails sur le deuxième plz qu'il a trouvé sur le client Steam de l'entreprise car il n'a pas été en mesure de le signaler via les canaux appropriés.
Prime de bogue du programme Valve
Valve a reçu de nombreuses critiques pour avoir ignoré les vulnérabilités, car elles sont suffisamment graves pour que la plupart des autres sociétés publient des correctifs lorsqu'elles sont découvertes dans leurs produits.
Dans un courriel à Site Web de ZD NetValve a expliqué que toute la situation était un énorme malentendu, en disant :
"Nos règles de programme HackerOne visaient uniquement à exclure les rapports de vapeur demandant d'exécuter des programmes précédemment installés sur l'ordinateur d'un utilisateur en tant qu'utilisateur local. Au lieu d'interpréter les règles, cela conduit également à l'exception d'une attaque plus sérieuse, qui est également effectuée par une élévation de privilèges locale via Steam. Nous avons mis à jour nos règles HackerOne pour indiquer clairement que ces problèmes sont dans la région et doivent être soumis."
Dans une mise à jour pour le client bêta Steam, Valve a déjà publié un correctif pour la vulnérabilité zero-day découverte par Kravets et après avoir été testés et vérifiés, ces correctifs seront publiés pour leur client principal.
- Protégez votre PC avec le meilleur programme antivirus gratuit de 2019
À travers Site Web de ZD Net
Soupape