1、 阀门回应第二轮蒸汽零日释放。由于回复篇幅较长，我们选择将其作为单独的一篇文章进行讨论。原故事如下。

2、 一位俄罗斯安全研究员发布了Steam游戏客户零日的详细信息。这是研究人员在过去两周宣布的第二个蒸汽零日。

3、 然而，尽管这位安全研究人员向Valve报告了第一个错误，并试图在公开披露前修复它，但他表示，他不能对第二个错误做同样的事情，因为该公司禁止他通过其公开的错误奖励计划在HackerOne平台上提交进一步的错误报告。

4、 阀门受到批评。

5、 这两个零日背后的整个事件链的披露，在信息安全领域引发了相当大的戏剧性和讨论。

6、 所有的负面评论都是针对Valve和HackerOne的工作人员，这两个人都被用于不专业的行为。

7、 安全研究人员和Steam的普通用户很生气，因为Valve拒绝承认报告的问题是安全漏洞，并拒绝修复它。

8、 当名为瓦西里克拉韦茨的安全研究员想要公开披露这个漏洞时，一名黑客工程师禁止他这样做，尽管Valve并不打算解决这个问题——实际上是试图阻止研究员让用户知道Steam客户端有问题。

9、 克拉韦茨最终发布了关于Steam Zero Day的详细信息，这是一个特权提升(也称为本地特权提升)错误，允许用户计算机上的其他应用程序或恶意软件滥用Steam客户端以管理员权限运行代码。

10、 克拉韦茨说，在公开披露的第一天之后，他就被禁止进入该平台。他的错误报告得到了媒体的大量报道，Valve最终提出了解决方案，这更多的是对公司得到的所有不良报道的回应。

11、 打补丁几乎立刻被证明是不够的，另一位安全研究人员找到了一种简单的方法来立即绕过它。

12、 此外，知名且受人尊敬的安全研究员马特尼尔森(matt nielsen)也透露，他发现了同样的错误，但在同样向Valve的HackerOne项目报告的克拉韦茨之后，他只经历了类似克拉韦茨的糟糕经历。

13、 尼尔森表示，Valve和HackerOne花了5天时间承认漏洞，拒绝修复，然后在尼尔森公开披露漏洞并警告用户时锁定了漏洞报告。

14、 后来，尼尔森发布了Steam Zero Day的第一个概念验证代码，并批评Valve和HackerOne在处理他的错误报告方面做得很少。

15、 第二轮蒸汽零日今日披露。

16、 今天，克拉韦茨发布了第二个Valve Zero Day的详细信息，这是Steam客户端中的另一个EoP/LPE，允许恶意应用程序通过Valve的Steam应用程序获得管理员权限。以下是第二个蒸汽零日的演示，克拉韦茨网站上提供了一份技术报告。

17、 Valve发言人没有回应置评请求，但该公司很少就安全问题发表评论。

18、 问题：VALVE不认为EOP/LPE是安全漏洞。

19、 Valve的所有问题似乎都源于这样一个事实，即该公司已将EoP/LPE漏洞列为其HackerOne平台的“范围之外”，这意味着该公司尚未将其视为安全问题。

20、 安全研究员Nelson因为在微软产品中发现了一系列有趣的漏洞而名声大噪，但他并不同意Valve的决定。

21、 EoP/LPE漏洞不能允许威胁行为者破解远程应用程序或计算机。它们是在后来的利用过程中被滥用的漏洞。在大多数情况下，攻击者可以获得root/admin/system权限来完全控制目标。

22、 虽然Valve不认为这些是安全漏洞，但其他人都认为。例如，微软每个月都会修复几十个EoP/LPE漏洞，OWASP认为EoP/LPE是其臭名昭著的十大漏洞列表中第五大最危险的安全漏洞。

23、 通过拒绝修复第一个零日，Valve无意中发送了一条消息，称其并不关心产品的安全性，仅仅是在电脑上安装Steam客户端就让超过1亿Windows用户陷入了危险。

24、 当然可以！阀门本身是正确的。攻击者不能使用EoP/LPE闯入Steam用户的客户端。这是事实。但这不是重点。

25、 当用户在他们的计算机上安装Steam客户端时，他们也不希望这个应用程序成为恶意软件或其他攻击的发射台。

26、 应用程序和用户的安全不仅仅是远程代码执行(RCE)错误。否则，如果EoP/LPE错误不是大问题，其他人不会打扰它们。