В бете Steam исправили уязвимость с получением максимальных прав

Ранее Valve отказывалась считать ее уязвимостью.

Ночью 10 августа вышла новая бета-версия клиента Steam. Помимо исправления ряда ошибок в бета-версии закрыта уязвимость, позволявшая повышать привилегии пользователя на любом компьютере, где установлено приложение.

О существовании уязвимости рассказал исследователь безопасности Василий Кравец из компании «Перспективный мониторинг». По словам Василия, он сообщил о ней Valve еще 2 июля, однако компания отказалась считать находку уязвимостью.

В сообщении Valve отмечалось, что для использования уязвимости нужен физический доступ к устройству пользователя, однако это не так. Журналисты ArsTechnica протестировали работу уязвимости, подтвердили выводы Кравеца и запросили комментарий у Valve; его не последовало.

Примечательно, что Кравец сообщил об уязвимости с помощью сервиса HackerOne, выбранного Valve для работы с исследователями безопасности. За обнаружение полагается награда — судя по патчу, теперь Valve все-таки считает ее уязвимостью — но Василий пока не сообщил, связывались ли с ним представители компании.