Новости технологий

Компания Valve исправила две уязвимости, связанные с повышением уровня привилегий

Российский исследователь проблем кибербезопасности Василий Кравец, судя по всему, берет верх в борьбе с гигантом игровой индустрии, американской компанией Valve. В начале августа Кравец обнаружил уязвимость нулевого дня в игровом клиенте Steam от Valve. Она позволяла осуществить повышение уровня привилегий до административного и выполнить от имени Steam любой код, включая и вредоносные.

Компания Valve поддерживает программу премирования исследователей за найденные уязвимости (bug bounty) на платформе HackerOne. Туда и направил свой отчет Василий Кравец – и получил отказ. Представители программы заявили, что описанная им атака требует предварительного доступа злоумышленника к устройству и инфицирования его вредоносным ПО, а потому не является проблемой Valve. Возмущенный исследователь вступил в спор, пытаясь доказать, что клиент Steam по сути своей предназначен для запуска программ (игр), созданных не самой компанией Valve, а сторонними разработчиками, а потому компания должна следить за тем, чтобы он не мог получить максимальные привилегии. В результате Valve не только отказалась исправлять уязвимость, но и заблокировала аккаунт специалиста в программе bug bounty.

В ответ на это Василий Кравец публично сообщил об уязвимости, а через несколько дней обнаружил и раскрыл еще одну, аналогичную предыдущей. Ситуация привлекла внимание общественности, Valve подверглась резкой критике за то, что, игнорируя проблемы, ставит под угрозу безопасность почти 100 миллионов своих пользователей. В итоге компания вынуждена была пересмотреть позицию. Она уже исправила обе уязвимости, а также внесла изменения в правила своей программы bug bounty. В распространенном Valve пресс-релизе сказано, что ситуация стала следствием неверной трактовки существовавших ранее правил программы. Тем не менее к настоящему моменту аккаунт российского исследователя в программе все еще заблокирован. Будет ли ему выплачено какое-либо вознаграждение – также неизвестно.

Источник: The Register