Valve剛剛修補了Steam的一個零日漏洞，但為了避免類似的事情再次發生，該公司還同步更新了bug賞金規則。該公司稱，研究人員匯報的這個漏洞，其實只能算是Steam遊戲客戶端上存在的一個誤會。上個月的時候，俄羅斯安全研究人員Vasily Kravets提交了這個漏洞，但HackOne工作人員告知，該漏洞已超出項目範圍，且Valve不打算修補。

（題圖via ZDNet）

如此糟糕的公關，導致Valve 和運營除蟲獎勵（bug 賞金）項目的HackerOne 員工都遭到了猛烈的批評。

據悉，該漏洞與本地特權提升（LPE）相關。儘管不像遠程代碼執行（RCE）那樣危險，但也不容忽視。因其允許計算機上已存在的惡意軟件獲得Steam 應用的管理員權限，並完全控制主機。

騷操作是，既然Valve 打不算修復這個漏洞，HackerOne 工作人員也禁止了Kravets 公開披露這個漏洞，這意味著數以千萬計的Steam 用戶仍然易受攻擊。

然而在正義感的驅動下，Kravets 最終還是披露了有關該漏洞的詳細信息，即便這會導致他被Valve 的除蟲獎勵項目拒之門外。

迫於壓力，Valve 為Kravets 曝光的漏洞提供了修復。但尷尬的是，另一位研究人員讓它在幾小時內就被掃入了垃圾桶。

然後Kravets 在個人網站上發布了第二個有關Steam 客戶端LPE 漏洞的詳細信息（除蟲獎勵什麼的也隨它去）。

在被連續用蛋糕砸臉之後，Valve 的面色變得很是難看，最終促使該公司修改了現有的Bug 賞金項目規則。

在今日發給ZDNet 的一封電子郵件中，Valve 稱這一切都是一個巨大的誤會，導致更嚴重的攻擊類型被排除在外。在規則更新之後，已明確將這些問題納入範圍之內。

最後，該發言人還表示，拒絕了Kravets 的第一份報告，是一個明顯的失誤。該公司正在對此事展開調查，後續會採取適當的行動。

測試版客戶端更新中已包含了被Kravets 曝光的零日漏洞的修補程序，待測試和審核通過之後，這些補丁將在正式版中引入。

然而在今天早些時候的採訪中，Kravets 告訴ZDNet，他目前仍被Valve 的HackerOne 的bug 賞金項目排除在外。