Valve Menambal Kerentanan Nol Hari dalam Uap Setelah Melarang Peneliti Yang Menemukan Mereka, Mengubah Bug Bounty Rules
Valve baru-baru ini menarik banyak kritik dari komunitas keamanan dunia maya setelah memalingkan seorang peneliti yang menemukan beberapa kerentanan zero-day di Steam, dan akhirnya memblokirnya dari platform bug bounty-nya. Valve sekarang telah mengetahui seluruh insiden, dan setelah menambal dua kerentanan yang berpotensi serius untuk Privilege Escalation (LPE), perusahaan menyebut kesalahan perlakuan yang dijatuhkan kepada peneliti dan juga memperbarui aturan program bug bug-nya. Yang perlu diperhatikan adalah bahwa mitra Valve yang menanganinya awalnya menolak untuk mengakui kesalahan zero-day sebagai masalah serius, mendorong peneliti keamanan untuk mengungkapkannya secara terbuka.
Peneliti keamanan Rusia, Vasily Kravets, menemukan masalah Local Privilege Escalation (LPE) di Steam dan melanjutkan untuk mengajukan laporan bug. HackerOne, mitra Valve yang mengawasi program karunia bug Steam, menyebut laporan itu keluar dari jangkauan dan menunjuk bahwa Valve tidak memiliki niat untuk menambalnya. Selain itu, mereka melarang Kravets untuk mengungkapkan masalah secara publik, membuat jutaan pengguna Steam rentan terhadap kesalahan yang dapat memungkinkan malware lokal untuk mengeksploitasi aplikasi Steam untuk mendapatkan hak admin dan akhirnya mengambil alih host.
Namun, peneliti keamanan akhirnya go public dengan penemuannya yang menyebabkannya dilarang dari program karunia bug oleh HackerOne. Dan meskipun Valve kemudian meluncurkan patch untuk memperbaikinya, cara alternatif untuk mengeksploitasinya segera ditemukan. Lebih buruk lagi, Kravets akhirnya menemukan kerentanan LPE kedua dan menerbitkannya sendiri, karena ia tidak dapat mengajukan laporan bug.
Seluruh kisah melukiskan gambaran negatif tentang Valve sebagai perusahaan yang ceroboh dengan keamanan dan menangani kerentanan semacam itu dengan cara yang tidak bertanggung jawab, selain memperlakukan peneliti dengan buruk. Tetapi tampaknya Valve sekarang telah meluncurkan patch untuk memperbaiki dua kelemahan LPE di Steam, dan yang lebih penting, telah mengakui bahwa mengabaikan laporan pertama Kravets adalah sebuah kesalahan. Valve juga mencatat bahwa seluruh hikayat disebabkan oleh kesalahpahaman tentang aturan kutu bugnya.
“Aturan program HackerOne kami dimaksudkan hanya untuk mengecualikan laporan tentang Steam yang diperintahkan untuk meluncurkan malware yang sebelumnya diinstal pada mesin pengguna sebagai pengguna lokal itu. Sebagai gantinya, salah tafsir aturan juga menyebabkan pengecualian dari serangan yang lebih serius yang juga melakukan eskalasi privilege lokal melalui Steam, "kata Valve seperti dikutip oleh ZDNet. Selain itu, perusahaan di balik Steam telah memperbarui aturan program karunia bugnya kepada menghindari insiden seperti itu di masa depan. Sementara perubahan aturan Valve meyakinkan, peneliti korban masih dilarang dari program karunia bug Steam yang dijalankan oleh HackerOne.
