Обновление от 27 августа 2019 года устраняет уязвимости, которые нашёл Василий Кравец. В списке изменений значится «Fixes for local-privilege-escalation vulnerabilities».
Напомним, что история, приключившаяся с Василием, может считаться прекрасным примером торжества бюрократии над здравым смыслом. 7 августа 2019 года Василий опубликовал статью об уязвимости с локальным повышением привилегий в клиенте Steam, заблаговременно уведомив Valve. Корпорация, во-первых, проигнорировала сообщение Василия. Во-вторых, через некоторое время платформа HackerOne, которая принимает отчёты и обрабатывает платежи за найденные уязвимости, прислала Василию большое письмо о том, что Valve отстранила его от участия в программе. 20 августа Василий публикует статью об ещё одной уязвимости в клиенте Steam.
Подобные вопиющие действия Valve вызвали резкую критику со стороны сообщества. В ответ Valve выпустила исправление, воздерживаясь от комментариев, но уже через несколько часов специалисты заметили, что патч компании неэффективен и его можно легко обойти.
В итоге Valve признала ошибки. 22 августа бета-версия клиента Steam получила исправления, а 27 августа они добрались и до стабильной версии клиента.
Кроме того, корпорация поменяла свою политику относительно уязвимостей с локальным повышением привилегий — теперь их находка тоже оплачивается. Василий Кравец был разбанен и получил заслуженную оплату.
Статьи по теме: