Новости

Valve исправляет уязвимости нулевого дня в Steam после запрета исследователя, который их обнаружил,

Valve назвал забанение исследователя безопасности ошибкой.

Российскому исследователю безопасности Василию Кравцу было запрещено публиковать информацию о своем открытии

  • Valve изначально отказалась признать LPE серьезной проблемой
  • Недостатки LPE могут быть использованы для получения привилегий администратора
  • Исследователь безопасности, обнаруживший LPE, остается под запретом

Valve недавно вызвала много критики со стороны сообщества кибербезопасности после того, как отвернула исследователя, который обнаружил пару уязвимостей нулевого дня в Steam и в конечном итоге заблокировал его от своей платформы баунти-багов. Valve теперь осознала весь инцидент, и после исправления двух потенциально серьезных уязвимостей Local Privilege Escalation (LPE) компания назвала метод лечения, допущенный для исследователя, ошибкой, а также обновила свои правила программы вознаграждения за ошибки. Что стоит отметить, так это то, что партнер Valve, который с ним справился, изначально отказывался признать недостаток нулевого дня как серьезную проблему, побудив исследователя безопасности раскрыть его публично.

Смотрите так же

Oracle предупреждение о безопасности Клиенты сказа... Обновление устраняет несколько недостатков, которые можно использовать удаленно без учетных данных пользователя. Лиам Тунг | 17 апреля 2019. 10:21 GMT (03:21 PDT) | Тема: Oracle Oracle призывает клиентов установить апрельское обновление критических исправлений, чтобы защитить себя от злоумышленников, которые нацелены на компании, которые медленн...
Google Stadia без Steam обречена на провал... Я был более оптимистичен, чем большинство, когда Google Stadia была впервые раскрыта. Возможность играть в видеоигры ААА на смартфоне или ноутбуке с низким энергопотреблением, при условии, что Wi-Fi справился с этим, звучала как воплощение мечты. Идея о том, что я могу прыгнуть прямо в игру, будь я в отеле, в поезде или на даче, не нуждаясь в гро...
Valve Index VR Headset дразнят за май 2019 года... Новая VR-гарнитура от Valve называется Index и скоро должна быть полностью раскрыта. Valve утверждает, что это будет улучшение по сравнению с существующим опытом Это может быть выстрел в руку VR нуждается Создатель Half-Life и Steam Valve дразнил виртуальную гарнитуру. Согласно странице, обнаруженной в Steam, она называется Valve Index и, возмож...

Российский исследователь безопасности Василий Кравец обнаружил проблему повышения привилегий в локальной сети (LPE) в Steam и приступил к публикации отчета об ошибке. HackerOne, партнер Valve, курирующий программу вознаграждений за ошибки в Steam, вывел отчет за рамки и указал, что Valve не собирается его исправлять. Кроме того, они запретили Кравецу публично раскрывать информацию о проблемах, оставляя миллионы пользователей Steam уязвимыми для уязвимости, которая может позволить локальному вредоносному ПО использовать приложение Steam для получения прав администратора и, в конечном итоге, захватить хост.

Тем не менее, исследователь безопасности в конце концов обнародовал свое открытие, которое привело к тому, что HackerOne запретил ему участвовать в программе защиты от ошибок. И хотя позднее Valve выпустила патч для его исправления, вскоре был обнаружен альтернативный способ его использования. Что еще хуже, Кравец в итоге обнаружил вторую уязвимость LPE и опубликовал ее самостоятельно, так как не смог подать отчет об ошибке.

Смотрите так же

«Metro Exodus» — новейшая игра ААА, которая ... Ранее в этом месяце мы узнали, что Том Клэнси, Отдел 2 отказался бы от Steam в пользу магазина Epic Game, сделав его первым огромным AAA-свойством, которое отказалось от магазина Valve для Fortnite издатель. Как оказалось, другой титул ААА побьет Дивизион 2 с точки зрения даты запуска: Метро Исход будет доступен исключительно в магазине Epic Games ...
Oracle предупреждение о безопасности Клиенты сказа... Обновление устраняет несколько недостатков, которые можно использовать удаленно без учетных данных пользователя. Лиам Тунг | 17 апреля 2019. 10:21 GMT (03:21 PDT) | Тема: Oracle Oracle призывает клиентов установить апрельское обновление критических исправлений, чтобы защитить себя от злоумышленников, которые нацелены на компании, которые медленн...
Valve Index VR Headset дразнят за май 2019 года... Новая VR-гарнитура от Valve называется Index и скоро должна быть полностью раскрыта. Valve утверждает, что это будет улучшение по сравнению с существующим опытом Это может быть выстрел в руку VR нуждается Создатель Half-Life и Steam Valve дразнил виртуальную гарнитуру. Согласно странице, обнаруженной в Steam, она называется Valve Index и, возмож...

Вся сага нарисовала негативную картину Valve как компании, которая безрассудно относится к безопасности и безответственно обрабатывает такие уязвимости, в дополнение к плохому обращению с исследователями. Но похоже, что Valve выпустила патч для исправления двух недостатков LPE в Steam и, что более важно, признала, что игнорирование первого сообщения Кравца было ошибкой. Valve также отметил, что вся сага была из-за неправильного понимания правил баунти.

«Правила нашей программы HackerOne были предназначены только для исключения сообщений о том, что Steam получил указание запустить ранее установленное вредоносное ПО на компьютере пользователя в качестве локального пользователя. Вместо этого неправильное толкование правил также привело к исключению более серьезной атаки, которая также выполняла локальное повышение привилегий через Steam," Valve цитирует слова ZDNet. Кроме того, компания, стоящая за Steam, обновила правила своей программы баунти, чтобы избежать подобных инцидентов в будущем. В то время как изменение правил Valve обнадеживает, исследователю жертвы по-прежнему запрещена программа вознаграждения за ошибки Steam, запущенная HackerOne.

Для получения последних технических новостей и обзоров следите за Gadgets 360 в Twitter, Facebook и подпишитесь на наш канал YouTube.

Смотрите так же

Google Stadia без Steam обречена на провал... Я был более оптимистичен, чем большинство, когда Google Stadia была впервые раскрыта. Возможность играть в видеоигры ААА на смартфоне или ноутбуке с низким энергопотреблением, при условии, что Wi-Fi справился с этим, звучала как воплощение мечты. Идея о том, что я могу прыгнуть прямо в игру, будь я в отеле, в поезде или на даче, не нуждаясь в гро...
Любая игра Steam теперь может использовать защищен... 43 процента геймеров наслаждались снижением задержки в сети. Питер Брайт. 15 марта 2019 г., 17:49 UTC Valve открывает свою сетевую ретрансляционную инфраструктуру, снижающую задержки и защищающую от DoS, каждому разработчику, использующему свою платформу Steamworks. Несколько лет назад крупномасштабные атаки типа «отказ в обслуживании» на игровы...
Oracle предупреждение о безопасности Клиенты сказа... Обновление устраняет несколько недостатков, которые можно использовать удаленно без учетных данных пользователя. Лиам Тунг | 17 апреля 2019. 10:21 GMT (03:21 PDT) | Тема: Oracle Oracle призывает клиентов установить апрельское обновление критических исправлений, чтобы защитить себя от злоумышленников, которые нацелены на компании, которые медленн...