游戏巨头Valve呼吁拒绝一位安全研究人员，该研究人员报告该公司Steam游戏客户端存在漏洞 “这是一个错误”。

Valve代表今天在一封电子邮件中告诉ZDNet该公司已经为Steam客户端发布了修复程序，更新了其漏洞赏金计划规则，并正在审查研究人员对其公共漏洞赏金计划的禁令。

臭虫报告崩溃

公司的反应是在被批评的糟糕方式之后，以及HackerOne员工(Valve运行其bug赏金计划)，处理了Steam游戏客户端的漏洞报告。

臭虫报告是由俄罗斯安全研究员Vasily Kravets上个月提交的，但是HackerOne的工作人员告诉他这个漏洞已经超出了程序的范围，并且Valve并不打算修补它。

该错误是本地特权升级(LPE)问题，它不像远程代码执行(RCE)漏洞那样危险，但仍然很危险，因为它允许计算机上已存在的恶意软件使用Steam应用获取管理员权限，完全控制主机。

即使Valve不打算修复这个漏洞，HackerOne的工作人员也禁止Kravets公开披露这个漏洞，这意味着数以千万计的Steam用户仍然容易受到攻击。

Kravets最终披露了有关漏洞的详细信息，并因此被Valve的bug赏金计划禁止。

Valve为Kravets披露的漏洞提供了修复，但另一位研究人员在几小时内找到了解决问题的方法。

然后Kravets 在他的网站上发布了关于第二个Steam客户端LPE的详细信息，无法通过该公司的bug赏金计划报告。

在所有这一切中，Valve发现自己脸上都是蛋糕，被认为是那些不想支付错误赏金奖励以及禁止研究人员报告危险错误的公司。

VALVE修改BUG赏金程序规则

针对Valve的大多数讨论和批评是关于公司忽视了LPE漏洞这一事实，这是一类几乎所有公司都在其产品中修补的安全漏洞。

但在今天发给ZDNet的电子邮件中，Valve称这一切都是一个巨大的误解。

“我们的HackerOne计划规则仅旨在排除有关Steam被指示在用户机器上作为本地用户启动以前安装的恶意软件的报告，”Valve表示。

“相反，对规则的误解也导致排除了更严重的攻击，并通过Steam进行了本地特权升级，”它补充道。

“我们更新了我们的HackerOne计划规则，以明确说明这些问题在范围内，应该报告。”

VALVE审查研究员的禁令

该发言人还表示，拒绝Kravets的第一份报告“是一个错误”，该公司正在审查这一特定情况，以确定适当的行动。

在今天早些时候询问时，Kravets告诉ZDNet他仍然被禁止使用Valve的HackerOne bug赏金计划。

对于其测试版客户端的更新，Valve还为 Kravets发现的Valve零天提供了新的修复程序。经过测试和审核后，这些补丁将在主客户端中合并。

今年早些时候，HackerOne 在其平台上运行的最佳漏洞赏金计划的前20名列表中排名第9位的Valve's bug赏金计划。

“在过去的两年里，我们与社区内的263名安全研究人员合作并给予奖励，帮助我们识别和纠正大约500个安全问题，支付超过675,000美元的奖金，”Valve表示。