Trwa ładowanie...

Steam to zagrożenie dla systemu Windows. Valve w końcu coś z tym robi

Steam w końcu będzie bezpieczny. Po zamieszaniu, jakie wywołało ujawnienie dwóch luk typu 0-day, firma Valve dała za wygraną. Przyznała, że zgłoszenia zostały obsłużone nieprawidłowo, a klienta sklepu z grami trzeba naprawić, by nie narażał systemu Windows.

Steam to zagrożenie dla systemu Windows. Valve w końcu coś z tym robiŹródło: WP.PL, fot: Anna Rymsza
d41y8jr
d41y8jr

W połowie sierpnia ujawniona została luka 0-day w kliencie Steam. Vasily Kravets i Matt Nielsen zgłosili niezależnie za pośrednictwem HackerOne – programu przyznający nagrody dla etycznych hakerów za znalezione błędy (tzw. bug bounty). Oba zgłoszenia zostały zignorowane, gdyż… wykraczały poza zakres działania Valve na HackerOne.

Bezpieczeństwo według Valve: ban za zgłaszanie błędów

W tym tygodniu Kravets opisał kolejną lukę typu 0-day w kliencie Steam. Mimo poprawek szkodliwy program wciąż może uzyskać uprawnienia administratora za pośrednictwem Steama. Sam klient Steam nie jest zagrożony, ale możliwość podniesienia uprawnień zrujnowała model bezpieczeństwa systemu Windows. Malware obecny w systemie może wykorzystać Steam do szkodliwych działań.

Kravets nie zgłaszał nowej podatności przez HackerOne. Dostał tam bana po tym, jak ujawnił istnienie luki w połowie miesiąca i nie może zakładać nowych zgłoszeń.

Valve w końcu zauważył swój błąd

Specjaliści z dziedziny cyberbezpieczeństwa nie zostawili na Valve suchej nitki. Firma w końcu przyznała, że odrzucenie zgłoszeń było błędem. Obsługa platformy HackerOne niesłusznie zamknęła wątki i zbanowała Kravetsa. Ponadto starała się nie dopuścić do tego, by informacje o podatności dotarły do wiadomości publicznej. Prawie 100 mln użytkowników platformy Steam było nieświadomych zagrożenia.

Valve naprawi klienta Steam – poprawki dla obu luk są już w wersji beta klienta. Ponadto zmieni sposób działania programu z nagrodami. Firma obiecała zaktualizować zasady działania na HackerOne, by nie dopuścić do takich sytuacji w przyszłości.

Według Valve cała sytuacja to jedno wielkie nieporozumienie. Zgłoszenia Kravetsa zostały zbagatelizowane, gdyż obsługa HackerOne nieprawidłowo zinterpretowała regulamin i źle oceniła wagę zgłoszeń. Mimo tego, w chwili pisania artykułu Kravets nadal miał bana na HackerOne.

d41y8jr
Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.

Komentarze

Trwa ładowanie
.
.
.
d41y8jr
Więcej tematów

Pobieranie, zwielokrotnianie, przechowywanie lub jakiekolwiek inne wykorzystywanie treści dostępnych w niniejszym serwisie - bez względu na ich charakter i sposób wyrażenia (w szczególności lecz nie wyłącznie: słowne, słowno-muzyczne, muzyczne, audiowizualne, audialne, tekstowe, graficzne i zawarte w nich dane i informacje, bazy danych i zawarte w nich dane) oraz formę (np. literackie, publicystyczne, naukowe, kartograficzne, programy komputerowe, plastyczne, fotograficzne) wymaga uprzedniej i jednoznacznej zgody Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, będącej właścicielem niniejszego serwisu, bez względu na sposób ich eksploracji i wykorzystaną metodę (manualną lub zautomatyzowaną technikę, w tym z użyciem programów uczenia maszynowego lub sztucznej inteligencji). Powyższe zastrzeżenie nie dotyczy wykorzystywania jedynie w celu ułatwienia ich wyszukiwania przez wyszukiwarki internetowe oraz korzystania w ramach stosunków umownych lub dozwolonego użytku określonego przez właściwe przepisy prawa.Szczegółowa treść dotycząca niniejszego zastrzeżenia znajduje siętutaj