ゲーム大手の Valve は、同社が欠陥に対するバグ報奨金の支払いを拒否したことを受けて、Steam の脆弱性に対するゼロデイ攻撃を暴露した情報セキュリティ担当者と和解しようとしている。
Valveは木曜日、バグハンターのVasily Kravets氏が発見した2つの脆弱性を修正し、HackerOneが運営する業界のバグ報奨金プログラムにKravets氏を復帰させることを検討すると発表した。「これらの問題に対処するため、Steamクライアントのパブリックベータチャンネルにアップデートをリリースしました。また、既に初期修正の一部を全ユーザーに配布済みです」と、Valveは述べた。
これは、Kravets氏がSteamクライアントソフトウェアに2件のゼロデイ権限昇格脆弱性のうち2件目を公表した後に起きたものです。どちらの脆弱性も、攻撃者がアプリケーションに悪意のあるコードを挿入する可能性があり、インストールされているゲームによっては、管理者レベルの権限で実行される可能性があります。いずれにせよ、被害者のシステムに何らかのアクセス権を持っている限り、Steamを乗っ取ってマルウェアを実行したり、スパイウェアをインストールしたりすることが可能でした。つまり、状況をさらに悪化させるということです。
Valveは当初、HackerOneを通じて、権限昇格の脆弱性は報奨金プログラムの対象外であると主張し、報奨金の支給や最初の脆弱性報告の承認を拒否しました。Kravets氏がこの決定に異議を唱えたところ、Valveから報奨金制度への参加を禁止されるに至ったやり取りがあったとKravets氏は語っています。
この動きを受けて、クラベッツ氏はSteamで2件目のゼロデイ権限昇格エクスプロイトを公開した。今回はDLLインジェクションの見落としだった。「Valveが今回も非公開の報告書ではなく公開報告書を読むことにしたので、その喜びを奪うわけにはいかない」とクラベッツ氏は冗談めかして言った。
マイクロソフト:私たちのコードがひどい?証明すれば3万ドルもらえるかも
続きを読む
2件目のセキュリティ欠陥報告と、オンラインの情報セキュリティ専門家からの非難は、Valveの注意を引くのに十分だったようだ。2件目のバグ開示のニュースが報じられて間もなく、数十億ドル規模のこの企業は報道機関(El Regを含む)に対し、決定を覆す声明を発表した。
ValveはThe Registerへの声明で、「HackerOneプログラムのルールは、Steamがユーザーのマシンに既にインストール済みのマルウェアをローカルユーザーとして起動するよう指示されたという報告を除外することのみを目的としていました」と述べています。「しかし、ルールの誤った解釈により、Steamを介してローカル権限の昇格も実行する、より深刻な攻撃も除外されてしまいました。」
続けて、「HackerOneプログラムのルールを更新し、これらの問題は報告対象範囲に含まれており、報告する必要があることを明記しました。過去2年間で、コミュニティの263名のセキュリティ研究者と協力し、約500件のセキュリティ問題の特定と修正に協力していただき、総額67万5000ドル以上の報奨金をお支払いしました。HackerOneプログラムを通じて、セキュリティコミュニティの皆様と引き続き協力し、製品のセキュリティ向上に努めてまいります。」と述べています。
しかし、Valve は Kravets の禁止を解除すると約束するまでには至らず、「適切な措置を決定するために、それぞれの状況の詳細を検討している」と述べた。®
