الأخبار التكنولوجية والاستعراضات والنصائح!

صمام تصحيحات نقاط الضعف في اليوم في بخار بعد حظر الباحث الذي اكتشفها ، يغير قواعد مكافأة الأخطاء

اجتذبت Valve مؤخرًا الكثير من الانتقادات من مجتمع الأمن السيبراني بعد إبعاد الباحث الذي اكتشف بضع نقاط ضعف في يوم Steam في Steam ، وحظره في النهاية من منصة مكافآت الأخطاء. أصبحت Valve الآن على دراية بالواقعة بأكملها ، وبعد تصحيح الثغرات الأمنية الخطيرة المحتملة للامتياز المحلي (LPE) ، وصفت الشركة أن المعاملة التي قُدمت للباحث خطأ ، كما قامت بتحديث قواعد برنامج مكافآت الأخطاء. الأمر الجدير بالملاحظة هو أن شريك Valve الذي تعامل معه رفض في البداية الاعتراف بخطأ يوم الصفر باعتباره مشكلة خطيرة ، مما دفع الباحث الأمني ​​إلى الكشف عنه علنًا.

اكتشف باحث الأمن الروسي ، فاسيلي كرافيتس ، مشكلة تصعيد الامتياز المحلي (LPE) في ستيم وشرع في تقديم تقرير بالأخطاء. قام HackerOne ، شريك Valve الذي يشرف على برنامج مكافأة أخطاء Steam ، بتسمية التقرير خارج النطاق وأشار إلى أن Valve ليس لديه أي نية لتصحيحه. بالإضافة إلى ذلك ، فقد منعوا Kravets من الكشف عن المشكلات بشكل علني ، مما جعل ملايين مستخدمي Steam عرضة لخلل قد يمكّن البرامج الضارة المحلية من استغلال تطبيق Steam للحصول على حقوق المسؤول والاستيلاء على المضيف في النهاية.

ومع ذلك ، أعلن الباحث الأمني ​​في نهاية المطاف مع اكتشافه مما أدى إلى حظره من برنامج مكافآت الأخطاء بواسطة HackerOne. وعلى الرغم من أن شركة Valve قامت في وقت لاحق بتدوير رقعة لإصلاحها ، إلا أنه تم اكتشاف طريقة بديلة لاستغلالها. ومما زاد الطين بلة ، اكتشف Kravets في النهاية ثغرة LPE ثانية ونشرها بنفسه ، لأنه لم يكن قادرًا على تقديم تقرير الأخطاء.

رسمت القصة الكاملة صورة سلبية عن Valve كشركة متهورة بالأمان وتتعامل مع هذه الثغرات بطريقة غير مسؤولة ، بالإضافة إلى معاملة الباحثين بشكل سيء. ولكن يبدو أن شركة Valve قد طورت الآن رقعة لإصلاح عيوب LPE في Steam ، والأهم من ذلك ، أنها اعترفت بأن تجاهل تقرير Kravets الأول كان خطأ. لاحظ Valve أيضًا أن القصة الكاملة كانت بسبب سوء فهم لقواعد فضله.

"كانت قواعد برنامج HackerOne الخاصة بنا تهدف فقط إلى استبعاد تقارير Steam التي تم توجيهها لإطلاق برامج ضارة مثبتة مسبقًا على جهاز المستخدم كمستخدم محلي. بدلاً من ذلك ، أدى سوء تفسير القواعد أيضًا إلى استبعاد هجوم أكثر خطورة أدى أيضًا إلى تصعيد الامتياز المحلي من خلال Steam ، "لقد نقلت شركة ZDNet عن Valve قوله. بالإضافة إلى ذلك ، قامت الشركة وراء Steam بتحديث قواعد برنامج مكافأة الأخطاء الخاص بها إلى تجنب مثل هذه الحوادث في المستقبل ، فبينما يكون تغيير قاعدة Valve مطمئنًا ، لا يزال الباحث الضحية محظورًا من برنامج مكافأة حشرة Steam الذي يديره HackerOne.