Game-uitgever Valve heeft een lek in zijn gameclient Steam gedicht, nadat het bedrijf de onderzoeker die de kwetsbaarheid ontdekte had afgewezen. Valve noemt het in eerste instantie wegsturen van de onderzoeker toen hij het lek aankaartte een “fout”, aldus ZDNet.

De onderzoeker meldde het lek in Steam in juli via HackerOne, een dienst waar onderzoekers kwetsbaarheden kunnen melden in ruil voor een beloning. Het bedrijf liet hem vervolgens weten dat de fout niet binnen het beloningsprogramma paste.

Via de kwetsbaarheid was het mogelijk dat malafide software, die al op een computer geïnstalleerd is, de Steam-app kon misbruiken om adminrechten te krijgen en zo de controle over het apparaat over te nemen.

Nadat Valve kenbaar maakte geen intentie te hebben om de kwetsbaarheid te dichten, publiceerde de onderzoeker details over het lek. Als gevolg daarvan werd hij uitgesloten van het beloningsprogramma van Valve.

Valve zegt tegen ZDNet dat het bedrijf zijn handelen omtrent de situatie gaat onderzoeken. Het type kwetsbaarheid dat de onderzoeker aankaartte, wordt inmiddels expliciet vermeld in het beloningsprogramma voor het melden van softwarefouten in Steam.

Source