الأخبار التكنولوجية والاستعراضات والنصائح!
  • نوتيسياس
  • التليفون المحمول
  • Apps
  • Games
  • Gadgets
  • الحاسوب

الأخبار التكنولوجية والاستعراضات والنصائح!

  • نوتيسياس
  • التليفون المحمول
  • Apps
  • Games
  • Gadgets
  • الحاسوب

صمام تصحيحات نقاط الضعف في اليوم في بخار بعد حظر الباحث الذي اكتشفها ، يغير قواعد مكافأة الأخطاء

by admin3739 08/23/2019

اجتذبت Valve مؤخرًا الكثير من الانتقادات من مجتمع الأمن السيبراني بعد إبعاد الباحث الذي اكتشف بضع نقاط ضعف في يوم Steam في Steam ، وحظره في النهاية من منصة مكافآت الأخطاء. أصبحت Valve الآن على دراية بالواقعة بأكملها ، وبعد تصحيح الثغرات الأمنية الخطيرة المحتملة للامتياز المحلي (LPE) ، وصفت الشركة أن المعاملة التي قُدمت للباحث خطأ ، كما قامت بتحديث قواعد برنامج مكافآت الأخطاء. الأمر الجدير بالملاحظة هو أن شريك Valve الذي تعامل معه رفض في البداية الاعتراف بخطأ يوم الصفر باعتباره مشكلة خطيرة ، مما دفع الباحث الأمني ​​إلى الكشف عنه علنًا.

اكتشف باحث الأمن الروسي ، فاسيلي كرافيتس ، مشكلة تصعيد الامتياز المحلي (LPE) في ستيم وشرع في تقديم تقرير بالأخطاء. قام HackerOne ، شريك Valve الذي يشرف على برنامج مكافأة أخطاء Steam ، بتسمية التقرير خارج النطاق وأشار إلى أن Valve ليس لديه أي نية لتصحيحه. بالإضافة إلى ذلك ، فقد منعوا Kravets من الكشف عن المشكلات بشكل علني ، مما جعل ملايين مستخدمي Steam عرضة لخلل قد يمكّن البرامج الضارة المحلية من استغلال تطبيق Steam للحصول على حقوق المسؤول والاستيلاء على المضيف في النهاية.

  

ومع ذلك ، أعلن الباحث الأمني ​​في نهاية المطاف مع اكتشافه مما أدى إلى حظره من برنامج مكافآت الأخطاء بواسطة HackerOne. وعلى الرغم من أن شركة Valve قامت في وقت لاحق بتدوير رقعة لإصلاحها ، إلا أنه تم اكتشاف طريقة بديلة لاستغلالها. ومما زاد الطين بلة ، اكتشف Kravets في النهاية ثغرة LPE ثانية ونشرها بنفسه ، لأنه لم يكن قادرًا على تقديم تقرير الأخطاء.

رسمت القصة الكاملة صورة سلبية عن Valve كشركة متهورة بالأمان وتتعامل مع هذه الثغرات بطريقة غير مسؤولة ، بالإضافة إلى معاملة الباحثين بشكل سيء. ولكن يبدو أن شركة Valve قد طورت الآن رقعة لإصلاح عيوب LPE في Steam ، والأهم من ذلك ، أنها اعترفت بأن تجاهل تقرير Kravets الأول كان خطأ. لاحظ Valve أيضًا أن القصة الكاملة كانت بسبب سوء فهم لقواعد فضله.

"كانت قواعد برنامج HackerOne الخاصة بنا تهدف فقط إلى استبعاد تقارير Steam التي تم توجيهها لإطلاق برامج ضارة مثبتة مسبقًا على جهاز المستخدم كمستخدم محلي. بدلاً من ذلك ، أدى سوء تفسير القواعد أيضًا إلى استبعاد هجوم أكثر خطورة أدى أيضًا إلى تصعيد الامتياز المحلي من خلال Steam ، "لقد نقلت شركة ZDNet عن Valve قوله. بالإضافة إلى ذلك ، قامت الشركة وراء Steam بتحديث قواعد برنامج مكافأة الأخطاء الخاص بها إلى تجنب مثل هذه الحوادث في المستقبل ، فبينما يكون تغيير قاعدة Valve مطمئنًا ، لا يزال الباحث الضحية محظورًا من برنامج مكافأة حشرة Steam الذي يديره HackerOne.

اكتشفهاالأخطاءالباحثالذيالضعفاليومبخاربعدتصحيحاتحظرصمامفيقواعدمكافأةنقاطيغير

المشاركات الاخيرة

  • قم بتثبيت Android 4.1.1 AOKP Jelly Bean Preview على Verizon Galaxy Nexus

  • هواوي تستجيب لأحدث الولايات المتحدة عمل

  • تطبيق أمان العائلة من Microsoft متوفر الآن في المعاينة

  • Amazon تطلق أقراص Fire HD 8 الجديدة

  • Xiaomi Mi Band 5 Live Images Spotted Online ، تم تحويله إلى ميزة Amazon دعم Alexa ، مستشعر SpO2

    @2019 - الأخبار التكنولوجية والاستعراضات والنصائح!

    يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على هذا ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك.

    في حالة بيع معلوماتك الشخصية ، يمكنك إلغاء الاشتراك باستخدام الرابط
    لا تبيع معلوماتي الشخصية

    قبول انخفاض Cookie Settings
    • About Cookies

      About Cookies

      ملفات تعريف الارتباط هي ملفات نصية صغيرة يمكن استخدامها بواسطة مواقع الويب لجعل تجربة المستخدم أكثر كفاءة. ينص القانون على أنه يمكننا تخزين ملفات تعريف الارتباط على جهازك إذا كانت ضرورية للغاية لتشغيل هذا الموقع. بالنسبة لجميع أنواع ملفات تعريف الارتباط الأخرى ، نحتاج إلى إذنك. يستخدم هذا الموقع أنواعًا مختلفة من ملفات تعريف الارتباط. يتم وضع بعض ملفات تعريف الارتباط بواسطة خدمات جهات خارجية تظهر على صفحاتنا.
    • Necessary

      Necessary

      Always Active
      Necessary cookies help make a website usable by enabling basic functions like page navigation and access to secure areas of the website. The website cannot function properly without these cookies.

      We do not use cookies of this type.
    • Marketing

      Marketing

      Marketing cookies are used to track visitors across websites. The intention is to display ads that are relevant and engaging for the individual user and thereby more valuable for publishers and third party advertisers.

      We do not use cookies of this type.
    • Analytics

      Analytics

      Analytics cookies help website owners to understand how visitors interact with websites by collecting and reporting information anonymously.

      We do not use cookies of this type.
    • Preferences

      Preferences

      Preference cookies enable a website to remember information that changes the way the website behaves or looks, like your preferred language or the region that you are in.
      NameDomainPurposeExpiryType
      NIDgoogle.comGoogle unique id for preferences.6 monthsHTTP
    • Unclassified

      Unclassified

      Unclassified cookies are cookies that we are in the process of classifying, together with the providers of individual cookies.
      NameDomainPurposeExpiryType
      __cfduidchoq.fmGeneric CloudFlare functional cookie.1 yearHTTP
    Cookie Settings

    Do you really wish to opt-out?