阀门响应第二次蒸汽零日释放。由于回复的篇幅较长，我们选择将其作为单独的一篇文章来涵盖。原故事如下。

一位俄罗斯安全研究员发布了Steam游戏“零日”客户的详细信息。这是研究人员在过去两周宣布的第二个蒸汽零日。

然而，尽管安全研究员向Valve报告了第一个错误，并试图在公开披露前修复它，但他表示，他不能对第二个错误做同样的事情，因为该公司禁止他通过其公开的错误奖励计划在HackerOne平台上提交进一步的错误报告。

阀门受到了批评。

披露这两个零日背后的整个事件链，在信息安全领域引发了相当大的戏剧性和讨论。

所有的负面评论都是针对Valve和HackerOne的工作人员，这两个都是用于不专业的行为。

安全研究人员和Steam的普通用户很生气，因为Valve拒绝承认报告的问题是安全漏洞，并拒绝修复它。

当一个名为瓦西里克拉韦茨的安全研究人员想要公开披露这个漏洞时，一名黑客工程师禁止他这样做，尽管Valve无意解决这个问题——实际上是试图阻止研究人员让用户知道Steam客户端有问题。

克拉韦茨最终发布了关于Steam Zero Day的详细信息，这是一个特权提升(也称为本地特权提升)错误，允许用户计算机上的其他应用程序或恶意软件滥用Steam客户端以管理员权限运行代码。

克拉韦茨说，在公开披露的第一个零天之后，他被禁止进入该平台。他的错误报告被媒体广泛报道，Valve最终提出了解决方案，这更多的是对公司得到的所有不良报道的回应。

该补丁几乎立即被证明是不够的，另一名安全研究人员找到了一种简单的方法来立即绕过它。

此外，知名且受人尊敬的安全研究员马特尼尔森(matt nielsen)也透露，他发现了同样的错误，但在克拉韦茨向Valve的HackerOne项目报告后，他只经历了一次类似克拉韦茨的糟糕经历。

尼尔森表示，Valve和HackerOne花了5天时间才承认漏洞，拒绝修复，然后在尼尔森公开披露漏洞并警告用户时锁定了漏洞报告。

尼尔森后来发布了第一个Steam Zero概念代码证明，并批评Valve和HackerOne在处理他的错误报告方面做得很少。

第二轮蒸汽零日今日披露。

今天，克拉韦茨发布了第二个Valve Zero Day的详细信息，这是Steam客户端中的另一个EoP/LPE，允许恶意应用程序通过Valve的Steam应用程序获得管理员权限。以下是第二个蒸汽零日的演示，克拉韦茨网站上提供了一份技术报告。

Valve发言人没有回应置评请求，但该公司很少就安全问题发表评论。

问题：VALVE不认为EOP/LPE是安全漏洞。

Valve的所有问题似乎都来自这样一个事实，即该公司已经将EoP/LPE漏洞列为其HackerOne平台的“范围之外”，这意味着该公司不认为这是一个安全问题。

尼尔森是一名安全研究员。他因为在微软产品中发现了一系列有趣的漏洞而名声大噪，但他不同意Valve的决定。

EoP/LPE漏洞不能允许威胁行为者破解远程应用程序或计算机。它们是在后期开发中被滥用的漏洞。在大多数情况下，攻击者可以通过获得root/admin/system权限来获得对目标的完全控制。

虽然Valve不认为这些是安全漏洞，但其他人认为。例如，微软每个月都会修复几十个EoP/LPE漏洞，OWASP认为EoP/LPE是其臭名昭著的十大漏洞列表中第五大最危险的安全漏洞。

通过拒绝修复第一个零日，Valve无意中发了一条消息，表示不在乎产品的安全性，仅通过在电脑上安装Steam客户端，就有超过1亿的公司Windows用户处于危险之中。

当然可以！阀门是正确的，以它自己的方式。攻击者不能使用EoP/LPE闯入Steam用户的客户端。这是事实。但这不是重点。

当用户在他们的计算机上安装蒸汽客户端时，他们不希望应用程序成为恶意软件或其他攻击的发射台。

应用程序和用户的安全不仅仅是远程代码执行(RCE)错误。否则，如果EoP/LPE错误不是大问题，其他人不会打扰它们。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：