就在代号为Felix的俄罗斯安全研究人员Vasily Kravets连续公开披露两个Steam客户端程序的权限扩张漏洞之后,Valve向媒体发出了声明,表示拒绝Felix所提出的第一个漏洞是错误的。
Felix当初通过Valve于HackerOne上执行的漏洞挖掘奖励项目,回应了Steam程序的本地端权限扩张漏洞,但被以超出漏洞挖掘奖励项目的范围而拒绝,于是Felix在不被同意的状况下公开了该漏洞,接着即成为该项目的拒绝往来户,使得本周Felix再度对外披露Steam程序的第二个本地端权限扩张(Local Privilege Escalation,LPE)漏洞。
在媒体纷纷要求Valve评论此事时,Valve发布声明,坦承当初认为Felix所提出的漏洞超出漏洞挖掘奖励项目范围是不对的,该项目唯一排除的是Steam程序用来发动计算机上既有恶意程序的漏洞,对规则的误解,使得他们错失了更严重的本地端权限扩张漏洞。
因此,Valve已变更HackerOne平台上的项目规则,明确指出任何允许恶意程序不必经由管理凭证就能借由Steam扩展权限的漏洞,或是任何未经授权即可变更Steam权限的漏洞,都在漏洞挖掘范围内。
而对于外界质疑Valve是因不想支付奖金才选择忽视Felix所提报的漏洞,Valve也说,该公司在过去两年内已与263名安全研究人员合作,找出及解决了约500个安全漏洞,支付了超过67.5万美元的奖金,期望能继续与安全社群合作以改善产品的安全性。
此外,Valve也正在修补Felix所公布的第二个本地端权限漏洞。不过,Felix向媒体透露,截至本周四(8月22日)Valve或HackerOne并未跟他联系,且他依旧遭到该漏洞挖掘项目的封锁。