No começo de agosto, dois pesquisadores de segurança, Vasily Kravets e Matt Nelson, reportaram à Valve uma vulnerabilidade encontrada na versão Windows do Steam que permitia que malware pudesse realizar uma “escalada de privilégios”, e ser executado com permissões de administrador do sistema, o que daria a ele controle total sobre a máquina.

A empresa informou que lançou uma atualização definitiva para corrigir o problema. Os pesquisadores ainda não puderam testar se ela de fato é adequada, já que terão de esperar que o update chegue para todos da Steam para que possam ter acesso. Eles foram banidos do sistema HackerOne, que encoraja os pesquisadores a reportarem falhas.

Histórico de erros

Os pesquisadores reportaram a falha por meio do programa HackerOne . A Valve, por sua vez, informou que esse tipo de vulnerabilidade estava fora do escopo do programa, por isso, não faria nada para consertá-la.

Como forma de provar que a vulnerabilidade era perigosa e poderia ser explorada, Matt decidiu criar uma prova de conceito em que ele mostra a possibilidade de se controlar o sistema do computador para obter contas privilegiadas. Como resultado, Matt e Vasily foram banidos do HackerOne.

A Valve lançou uma atualização que supostamente corrigia a falha, mas essa não era uma correção adequada, já que foi facilmente contornada por um usuário do Twitter chamado de Xiaoyin Lu.

Em 20 de agosto, Kravets informou que a descoberta de Xiaoyin era verdadeira, mas que não pôde denunciá-la para a Valve porque ele havia sido banido do programa de HackerOne.

Após a repercussão do caso, a Valve admitiu publicamente o erro e informa que atualizou suas políticas do HackerOne para que esse tipo de vulnerabilidade possa ser reportada por todos.

Ao ser questionada se os pesquisadores ainda vão continuar banidos, a empresa afirma que vai analisar os casos, mas que não vai comentar sobre cada um separadamente.

Via: Bleeping Computer