И ещё один Steam Windows Client Local Privilege Escalation 0day

Все блоги / Про интернет 20 августа 2019 263

В предыдущей серии

Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в их программе по отклонению уязвимостей (остальной H1 мне доступен).

Более подробно историю вы можете узнать в предыдущей публикации, здесь же я скажу пару слов об актуальном состоянии.

А оно простое и грустное — Valve все так же терпят фиаско. Последнее обновление, которое было призвано устранить проблему, легко обходится и уязвимость все еще актуальна. Да, я это проверил — прекрасно работает.

Но эта статья не о том, что старая уязвимость все еще присутствует, а о новой. Поскольку Valve еще раз изъявили желание прочитать публичный отчет, вместо частного, не будем лишать их этого удовольствия.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Третья уязвимость Steam Windows Client, но не 0day

В предыдущих сериях Не так давно я рассказал о двух уязвимостях Стима: CVE-2019-14743 и CVE-2019-15316. Там была целая история о том, как я пытался зарепортить их, у меня не получалось, меня забанили, и только после публичного раскрытия и помощи сообщества удалось достичь результатов. Valve сделали

подробнее »

1 октября 2019

Steam Windows Client Local Privilege Escalation 0day

Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятно, когда тебе прямо

подробнее »

7 августа 2019

[Перевод] В клиенте Steam устранили опасную уязвимость, которая пряталась там десять лет

Ведущий исследователь Том Корт из компании Context, предоставляющей услуги информационной безопасности, рассказывает о том, как ему удалось обнаружить потенциально опасный баг в коде клиента Steam. Внимательно следящие за безопасностью PC-игроки заметили, что недавно Valve выпустила новое

подробнее »

3 июня 2018

Как я взломал Steam. Дважды

Привет, хабр! Сегодня я расcкажу за что же Valve заплатила наибольшие баунти за историю их программы по вознаграждению за уязвимости. Добро пожаловать под кат! Читать дальше →

подробнее »

1 октября 2018

Интервью с багхантером Артем Московским. Он взломал Steam и получил самую крупную награду в истории Valve

Артем Московский — багхантер, пентестер и безопасник которому сразу хочется задать стыдный вопрос «сколько ты зарабатываешь?» В прошлом году он получил самое большое вознаграждение в истории Valve — $20 и 25 тысяч за две крупные уязвимости в Steam и еще 10 за баги поменьше. Мы переписывались

подробнее »

15 января 2019

Facebook работает над аналогом Steam

18 августа Facebook объявил, что займётся созданием платформы для десктопных игр. Издание Business Insider уточнило у компании 24 августа, что именно подразумевается под этим. Оказалось, что, в том числе, компания работает над аналогом Steam — отдельным приложением для доступа ко всем играм.

подробнее »

25 августа 2016