更新时间:2021-10-16 12:15:59
1、 阀门回应第二轮蒸汽零日释放。由于回复篇幅较长,我们选择将其作为单独的一篇文章进行讨论。原故事如下。
2、 一位俄罗斯安全研究员发布了Steam游戏客户零日的详细信息。这是研究人员在过去两周宣布的第二个蒸汽零日。
3、 然而,尽管这位安全研究人员向Valve报告了第一个错误,并试图在公开披露前修复它,但他表示,他不能对第二个错误做同样的事情,因为该公司禁止他通过其公开的错误奖励计划在HackerOne平台上提交进一步的错误报告。
4、 阀门受到批评。
5、 这两个零日背后的整个事件链的披露,在信息安全领域引发了相当大的戏剧性和讨论。
6、 所有的负面评论都是针对Valve和HackerOne的工作人员,这两个人都被用于不专业的行为。
7、 安全研究人员和Steam的普通用户很生气,因为Valve拒绝承认报告的问题是安全漏洞,并拒绝修复它。
8、 当名为瓦西里克拉韦茨的安全研究员想要公开披露这个漏洞时,一名黑客工程师禁止他这样做,尽管Valve并不打算解决这个问题——实际上是试图阻止研究员让用户知道Steam客户端有问题。
9、 克拉韦茨最终发布了关于Steam Zero Day的详细信息,这是一个特权提升(也称为本地特权提升)错误,允许用户计算机上的其他应用程序或恶意软件滥用Steam客户端以管理员权限运行代码。
10、 克拉韦茨说,在公开披露的第一天之后,他就被禁止进入该平台。他的错误报告得到了媒体的大量报道,Valve最终提出了解决方案,这更多的是对公司得到的所有不良报道的回应。
11、 打补丁几乎立刻被证明是不够的,另一位安全研究人员找到了一种简单的方法来立即绕过它。
12、 此外,知名且受人尊敬的安全研究员马特尼尔森(matt nielsen)也透露,他发现了同样的错误,但在同样向Valve的HackerOne项目报告的克拉韦茨之后,他只经历了类似克拉韦茨的糟糕经历。
13、 尼尔森表示,Valve和HackerOne花了5天时间承认漏洞,拒绝修复,然后在尼尔森公开披露漏洞并警告用户时锁定了漏洞报告。
14、 后来,尼尔森发布了Steam Zero Day的第一个概念验证代码,并批评Valve和HackerOne在处理他的错误报告方面做得很少。
15、 第二轮蒸汽零日今日披露。
16、 今天,克拉韦茨发布了第二个Valve Zero Day的详细信息,这是Steam客户端中的另一个EoP/LPE,允许恶意应用程序通过Valve的Steam应用程序获得管理员权限。以下是第二个蒸汽零日的演示,克拉韦茨网站上提供了一份技术报告。
17、 Valve发言人没有回应置评请求,但该公司很少就安全问题发表评论。
18、 问题:VALVE不认为EOP/LPE是安全漏洞。
19、 Valve的所有问题似乎都源于这样一个事实,即该公司已将EoP/LPE漏洞列为其HackerOne平台的“范围之外”,这意味着该公司尚未将其视为安全问题。
20、 安全研究员Nelson因为在微软产品中发现了一系列有趣的漏洞而名声大噪,但他并不同意Valve的决定。
21、 EoP/LPE漏洞不能允许威胁行为者破解远程应用程序或计算机。它们是在后来的利用过程中被滥用的漏洞。在大多数情况下,攻击者可以获得root/admin/system权限来完全控制目标。
22、 虽然Valve不认为这些是安全漏洞,但其他人都认为。例如,微软每个月都会修复几十个EoP/LPE漏洞,OWASP认为EoP/LPE是其臭名昭著的十大漏洞列表中第五大最危险的安全漏洞。
23、 通过拒绝修复第一个零日,Valve无意中发送了一条消息,称其并不关心产品的安全性,仅仅是在电脑上安装Steam客户端就让超过1亿Windows用户陷入了危险。
24、 当然可以!阀门本身是正确的。攻击者不能使用EoP/LPE闯入Steam用户的客户端。这是事实。但这不是重点。
25、 当用户在他们的计算机上安装Steam客户端时,他们也不希望这个应用程序成为恶意软件或其他攻击的发射台。
26、 应用程序和用户的安全不仅仅是远程代码执行(RCE)错误。否则,如果EoP/LPE错误不是大问题,其他人不会打扰它们。