Vasily Kravets 表示,他發現 Steam 客戶端程式存在一個巨大安全漏洞,這個漏洞不需要符號連結(symbolic links)便能取得控制電腦權限。簡單來說就是,玩家從 Steam 下載被植入惡意程式碼的遊戲程式,電腦便有可能遭到安全性入侵。
Kravets 透過「HackerOne」漏洞回報計劃向 Valve 回報事件,但官方封鎖了 Kravets 的回報內容,被指可能有意隱瞞。於是 Kravets 就透過網上將消息發佈,而 Valve 官方最終承認這項漏洞並進行了相關修正。
Valve banned me on their H1 program.
— Felix aka [xi-tauw] (@PsiDragon) August 20, 2019
So...
I release new #ZeroDay #PublicDisclosure EoP vulnerability at Steam.
Another #0day.
Rus - https://t.co/jAoq5kCTfF
Eng - https://t.co/FfGXltXmpX
https://t.co/WwHT7H8hcN
— Felix aka [xi-tauw] (@PsiDragon) August 22, 2019
Valve is patching something. I'll wait for main client update.
─完─
