Специалист по кибербезопасности Василий Кравец опубликовал информацию об очередной уязвимости в клиенте Steam. Это уже вторая 0-day уязвимость, которую Василий обнаружил за последние две недели.
Однако сообщить Valve о проблемах безопасности у исследователя не получилось. Все потому что компания забанила его в своей программе по поиску багов на HakerOne. Вся ситуация с обнаруженными в Steam уязвимостями вызвала недоумение со стороны сообщества безопасников. Valve столкнулись с обвинениями в непрофессионализме и странном подходе к обеспечению безопасности пользователей.
В этот раз Кравец опубликовал детали второй 0-day уязвимости в клиенте Steam. Эта брешь позволяет локально повысить права в системе (как и первая 0-day). Таким образом, вредоносные приложения могут получить права администратора через Steam-клиент. Технические детали уязвимости Кравец опубликовал в своём отчете.
Проблема Valve заключается в том, что компания не расценивает возможность повышения прав в системе как уязвимость. Напомним, что на просторах Сети появилась новая изощренная мошенническая схема, с помощью которой злоумышленники атакуют пользователей Steam. Специальный сайт, который якобы бесплатно раздаёт игры, на деле используется для взлома аккаунтов Steam.
