研究人员再度揭露Steam的零时差漏洞

发布于2019-08-23 03:50:17

导读: 代号为Felix的俄罗斯安全研究人员VasilyKravets继8月上旬揭露Steam客户端程式的权限扩张漏洞之后,本周再度公布了新的Steam权限扩张漏洞。Felix与

代号为Felix的俄罗斯安全研究人员Vasily Kravets继8月上旬揭露Steam客户端程式的权限扩张漏洞之后,本周再度公布了新的Steam权限扩张漏洞。

Felix与Steam之间,已经快演变成个人恩怨了。

Felix在今年6月透过Valve于HackerOne上执行的抓漏奖励专案,回报了第一个Steam客户端程式的权限扩张漏洞,当时该漏洞已通过HackerOne的审核,但被Valve打了回票,Felix在不顾Valve的阻止下揭露了该漏洞。

之后Valve修补了Felix所提出的漏洞,但Felix也被Valve的抓漏奖励专案封锁,不得再提报漏洞。

于是Felix本周再度对外公开Steam客户端程式的第二个权限扩张漏洞,包含漏洞细节与攻击方法,宣称成功的攻击将可取得系统权限以执行任意程式。

Felix说,既然Valve不愿接受他私下提出的漏洞报告,他只好公开披露。

此外,尽管Valve已修补了Felix所提出的第一个漏洞,但已有其它的安全研究人员宣称该修补并未真的解决问题,依然可被绕过,而Felix亦已证实此事。

相关文章