在拒絕對本地端權限擴張類型的漏洞發抓漏獎金之後，Valve認錯了，開始接受LPE等級的
漏洞回報
https://www.ithome.com.tw/news/132602
之前有位研究人員透過Valve於HackerOne上執行的漏洞獎勵專案，回報了Steam程式的本
地端權限擴張漏洞，但被Valve以漏洞資格不符而拒絕提供獎金，現在Valve對外坦承當時
做了錯誤的決定
文/陳曉莉 | 2019-08-23發表
就在代號為Felix的俄羅斯安全研究人員Vasily Kravets連續公開揭露兩個Steam客戶端程
式的權限擴張漏洞之後，Valve向媒體發出了聲明，表示拒絕Felix所提出的第一個漏洞是
錯誤的。
Felix當初透過Valve於HackerOne上執行的抓漏獎勵專案，回報了Steam程式的本地端權限
擴張漏洞，但被以超出抓漏獎勵專案的範圍而拒絕，於是Felix在不被同意的狀況下公開
了該漏洞，接著即成為該專案的拒絕往來戶，使得本周Felix再度對外揭露Steam程式的第
二個本地端權限擴張（Local Privilege Escalation，LPE）漏洞。
在媒體紛紛要求Valve評論此事時，Valve發表聲明，坦承當初認為Felix所提出的漏洞超
出抓漏獎勵專案範圍是不對的，該專案唯一排除的是Steam程式用來發動電腦上既有惡意
程式的漏洞，對規則的誤解，使得他們錯失了更嚴重的本地端權限擴張漏洞。
因此，Valve已變更HackerOne平台上的專案規則，明確指出任何允許惡意程式不必經由管
理憑證就能藉由Steam擴充權限的漏洞，或是任何未經授權即可變更Steam權限的漏洞，都
在抓漏範圍內。
而對於外界質疑Valve是因不想支付獎金才選擇忽視Felix所提報的漏洞，Valve也說，該
公司在過去兩年內已與263名安全研究人員合作，找出及解決了約500個安全漏洞，支付了
超過67.5萬美元的獎金，期望能繼續與安全社群合作以改善產品的安全性。
此外，Valve也正在修補Felix所公布的第二個本地端權限漏洞。不過，Felix向媒體透露
，截至本周四（8月22日）Valve或HackerOne並未跟他聯繫，且他依舊遭到該抓漏專案的
封鎖。

反觀 除了我們沒人可以看 的公司

好公司給推

認錯就好 漏洞快修一修

拉不下臉，ban掉就沒事了

暗綠色介面時期有一個遊戲全餐的漏洞 甚是懷念

還沒解ban?

等給那位駭客一個交代再來

看到問題先把他ban了

抓漏就找陳添財

所以還是沒補獎金給那個駭客XD

知錯能改再有吃屎

認錯也好 反觀…

踢到鐵板了吼= =

結果還是ban那個發現者，也沒補發獎金呀？

抓漏是陳財佑

steam有改進就好 下次不要再這樣了

沒救惹 資安觀念看起來真的不太妙

感覺沒給個交代 只是口頭說說

真好 道個歉就沒事了

知錯能改，反觀

之後駭客收到V社的一盒甜甜圈當作對他歉意 至於甜甜圈怎麼做的 不好說

很明顯就valve太自大 至少會認錯 快補救吧

怎麼還在說謊? 明明是先BAN人才公開漏洞的呀

覺得只是公關場面話，也還沒解ban,先應付媒體止血而已

那個甜甜圈真的會怕 XD

標題與內文... xD

認錯不改進~~一堆沒看內文的笑死

補發獎金跟解ban駭客 再補推 抱歉原po

認錯再把提出問題的人解決掉就行了 valve不意外

valve內部先整頓整頓吧 ceo不管事內部一團亂

The cake is a lie.

樓上有梗XDDD

V社：什麼？你抓到我程式漏洞！ 吃我的ban啦（消息公開後）V社：對不起使用者，我們誠心解決但是害我消息畢露的繼續吃ban喔

笑死

辣個人被列為拒絕往來戶了嗎

Bz化

放心啦，已經大到不能倒了，沒事兒沒事兒BZ這公司啥時倒都不會有人同情

大頭症

結果還是沒補獎金 繼續封鎖 呵呵我不當白帽啦 JOJO! (?

痾...這麼大一家公司,兩年支付67.5萬美金抓漏很摳啊

本來就該繼續封鎖不給錢就搞 當Valve會怕?

公布就叫搞你? Valve自認不嚴重公布後就不該修