代號為Felix的俄羅斯安全研究人員Vasily Kravets繼8月上旬揭露Steam客戶端程式的權限擴張漏洞之後,本周再度公布了新的Steam權限擴張漏洞

Felix與Steam之間,已經快演變成個人恩怨了。

Felix在今年6月透過Valve於HackerOne上執行的抓漏獎勵專案,回報了第一個Steam客戶端程式的權限擴張漏洞,當時該漏洞已通過HackerOne的審核,但被Valve打了回票,Felix在不顧Valve的阻止下揭露了該漏洞。

之後Valve修補了Felix所提出的漏洞,但Felix也被Valve的抓漏獎勵專案封鎖,不得再提報漏洞。

於是Felix本周再度對外公開Steam客戶端程式的第二個權限擴張漏洞,包含漏洞細節與攻擊方法,宣稱成功的攻擊將可取得系統權限以執行任意程式。

Felix說,既然Valve不願接受他私下提出的漏洞報告,他只好公開披露。

此外,儘管Valve已修補了Felix所提出的第一個漏洞,但已有其它的安全研究人員宣稱該修補並未真的解決問題,依然可被繞過,而Felix亦已證實此事。


Advertisement

更多 iThome相關內容