Le géant du jeu sur PC, Valve, a déclaré que l'interdiction d'une étude sur la sécurité qui a révélé une vulnérabilité de jour zéro dans son client de jeu Steam était «une erreur».
Le mois dernier, le chercheur russe en sécurité, Vasily Kravets, a publié un rapport de bogue dans lequel il révélait que Steam était vulnérable à un jour zéro, laissant les utilisateurs de Windows 10 au risque d'une attaque.
Cependant, à ce moment-là, HackerOne (qui exécute le programme de prime aux bogues de Valve) lui avait dit que le bogue qu'il avait découvert était hors de portée du programme et que Valve n'avait aucune intention de le corriger. Le bogue en question était un problème d'élévation de privilèges locale (LPE) qui permettait aux logiciels malveillants déjà présents sur le périphérique d'un utilisateur d'utiliser le client Steam de Valve pour obtenir les droits d'administrateur et prendre le contrôle intégral du système.
Le personnel de HackerOne a également interdit à Kravets de divulguer publiquement la vulnérabilité, mais il l'a finalement finalement fait et s'est vu interdire de participer au programme de protection contre les prix des bogues de Valve. Valve a corrigé le bogue révélé par Kravets, mais un autre chercheur a découvert un autre bogue quelques heures plus tard. Kravets a ensuite publié des détails sur un deuxième LPE trouvé dans le client Steam de la société, car il était incapable de le signaler par les canaux appropriés.
Sommaire
Programme de prime de bug de la valve
Valve a reçu de nombreuses critiques pour avoir ignoré les vulnérabilités de LPE, car elles sont suffisamment sérieuses pour que la plupart des autres sociétés publient des correctifs lorsqu'elles sont détectées dans leurs produits.
Dans un email à ZDNetValve a expliqué que la situation dans son ensemble était un malentendu massif et a déclaré:
"Les règles de notre programme HackerOne visaient uniquement à exclure les rapports indiquant que Steam était invité à lancer un programme malveillant précédemment installé sur la machine d'un utilisateur en tant qu'utilisateur local. Une interprétation erronée des règles a également entraîné l'exclusion d'une attaque plus sérieuse utilisant également des privilèges locaux. escalade via Steam. Nous avons mis à jour nos règles de programme HackerOne pour indiquer explicitement que ces problèmes sont dans la portée et doivent être signalés. "
Dans une mise à jour du client bêta de Steam, Valve a publié des correctifs pour les deux vulnérabilités «zero-day» découvertes par Kravets. Une fois testées et révisées, ces correctifs seront publiés pour son client principal.
Via ZDNet
