Steam to zagrożenie dla systemu Windows. Valve w końcu coś z tym robi
Steam w końcu będzie bezpieczny. Po zamieszaniu, jakie wywołało ujawnienie dwóch luk typu 0-day, firma Valve dała za wygraną. Przyznała, że zgłoszenia zostały obsłużone nieprawidłowo, a klienta sklepu z grami trzeba naprawić, by nie narażał systemu Windows.
W połowie sierpnia ujawniona została luka 0-day w kliencie Steam. Vasily Kravets i Matt Nielsen zgłosili ją niezależnie za pośrednictwem HackerOne – programu przyznający nagrody dla etycznych hakerów za znalezione błędy (tzw. bug bounty). Oba zgłoszenia zostały zignorowane, gdyż… wykraczały poza zakres działania Valve na HackerOne.
Bezpieczeństwo według Valve: ban za zgłaszanie błędów
W tym tygodniu Kravets opisał kolejną lukę typu 0-day w kliencie Steam. Mimo poprawek szkodliwy program wciąż może uzyskać uprawnienia administratora za pośrednictwem Steama. Sam klient Steam nie jest zagrożony, ale możliwość podniesienia uprawnień zrujnowała model bezpieczeństwa systemu Windows. Malware obecny w systemie może wykorzystać Steam do szkodliwych działań.
Kravets nie zgłaszał nowej podatności przez HackerOne. Dostał tam bana po tym, jak ujawnił istnienie luki w połowie miesiąca i nie może zakładać nowych zgłoszeń.
Valve w końcu zauważył swój błąd
Specjaliści z dziedziny cyberbezpieczeństwa nie zostawili na Valve suchej nitki. Firma w końcu przyznała, że odrzucenie zgłoszeń było błędem. Obsługa platformy HackerOne niesłusznie zamknęła wątki i zbanowała Kravetsa. Ponadto starała się nie dopuścić do tego, by informacje o podatności dotarły do wiadomości publicznej. Prawie 100 mln użytkowników platformy Steam było nieświadomych zagrożenia.
Valve naprawi klienta Steam – poprawki dla obu luk są już w wersji beta klienta. Ponadto zmieni sposób działania programu z nagrodami. Firma obiecała zaktualizować zasady działania na HackerOne, by nie dopuścić do takich sytuacji w przyszłości.
Według Valve cała sytuacja to jedno wielkie nieporozumienie. Zgłoszenia Kravetsa zostały zbagatelizowane, gdyż obsługa HackerOne nieprawidłowo zinterpretowała regulamin i źle oceniła wagę zgłoszeń. Mimo tego, w chwili pisania artykułu Kravets nadal miał bana na HackerOne.