Российский исследователь в области IT-безопасности нашёл уязвимость в Windows-клиенте Steam. Уязвимость позволяет любому пользователю выполнять команды с системными привилегиями. Причём неважно, используется Steam или нет, главное, чтобы он был установлен.
Патч есть?
Нет. Тут раскрывается совершенно удивительная история.
Исследователь попытался отправить отчёт Valve через HackerOne. Его отклонили дважды с пометкой, что атака требует доступа к файловой системе (хотя она не требует).
Исследователь предупредил, что после 30 июля опубликует отчёт. HackerOne заявил, что разрешения на раскрытие уязвимости не даёт. Почему — не понятно, ведь отчёт все равно в работу не приняли.
7 августа статья об уязвимости всё же вышла, её можно прочесть на «Хабре».
Об этой истории написало англоязычное издание Ars Technica. Оно запросило комментарий у Valve — может, им удастся привлечь внимание разработчика к проблеме.
Source: Хабр
