menu
menu
logo
Компания Valve исправила две уязвимости, связанные с повышением уровня привилегий

Компания Valve исправила две уязвимости, связанные с повышением уровня привилегий

Российский исследователь проблем кибербезопасности Василий Кравец, судя по всему, берет верх в борьбе с гигантом игровой индустрии, американской компанией Valve. В начале августа Кравец обнаружил уязвимость нулевого дня в игровом клиенте Steam от Valve. Она позволяла осуществить повышение уровня привилегий до административного и выполнить от имени Steam любой код, включая и вредоносные.

Компания Valve поддерживает программу премирования исследователей за найденные уязвимости (bug bounty) на платформе HackerOne. Туда и направил свой отчет Василий Кравец – и получил отказ. Представители программы заявили, что описанная им атака требует предварительного доступа злоумышленника к устройству и инфицирования его вредоносным ПО, а потому не является проблемой Valve. Возмущенный исследователь вступил в спор, пытаясь доказать, что клиент Steam по сути своей предназначен для запуска программ (игр), созданных не самой компанией Valve, а сторонними разработчиками, а потому компания должна следить за тем, чтобы он не мог получить максимальные привилегии. В результате Valve не только отказалась исправлять уязвимость, но и заблокировала аккаунт специалиста в программе bug bounty.

В ответ на это Василий Кравец публично сообщил об уязвимости, а через несколько дней обнаружил и раскрыл еще одну, аналогичную предыдущей. Ситуация привлекла внимание общественности, Valve подверглась резкой критике за то, что, игнорируя проблемы, ставит под угрозу безопасность почти 100 миллионов своих пользователей. В итоге компания вынуждена была пересмотреть позицию. Она уже исправила обе уязвимости, а также внесла изменения в правила своей программы bug bounty. В распространенном Valve пресс-релизе сказано, что ситуация стала следствием неверной трактовки существовавших ранее правил программы. Тем не менее к настоящему моменту аккаунт российского исследователя в программе все еще заблокирован. Будет ли ему выплачено какое-либо вознаграждение – также неизвестно.

Источник: The Register

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте