Фейк-Контроль #51 [Уязвимость Steam и как себя обезопасить]
В Steam обнаружили серьёзную уязвимость, но разработчики отказались её исправлять
Российский исследователь в области IT-безопасности нашёл уязвимость в Windows-клиенте Steam. Уязвимость позволяет любому пользователю выполнять команды с системными привилегиями. Причём неважно, используется Steam или нет, главное, чтобы он был установлен. Патч есть? Нет. Тут раскрывается совершенно удивительная история. Исследователь попытался отправить отчёт Valve через HackerOne. Его отклонили дважды с пометкой, что атака требует доступа к файловой системе (хотя она не требует)...
Steam Windows Client Local Privilege Escalation 0day
Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятно, когда тебе прямо показывают, что ты допустил ошибку и, скорее всего, не одну. Неприятно подтверждать в открытых источниках публично, что проблемы были, что сотрудники что-то недоработали. Но я не понимаю почему информацию об уязвимости нужно отвергать...