สัปดาห์ก่อนประเด็นในแวดวงความปลอดภัยว่า Valve ปฏิเสธไม่รับแจ้งช่องโหว่ LPE ของ Steam Client ที่นักวิจัยแจ้งผ่านทาง HackerOne เพราะ Valve มองว่ากเป็นช่องโหว่ที่อยู่นอกสโคป ต้องวางไฟล์ในเครื่องเหยื่อก่อนจึงไม่เข้าข่ายที่จะรับรายงาน
ล่าสุด Valve แถลงการณ์ออกมายอมรับความผิดพลาดที่ปฏิเสธไม่รับแจ้งช่องโหว่ดังกล่าวแล้ว พร้อมแก้ไขกฎกติกาบน HackerOne ให้ครอบคลุมช่องโหว่ LPE และจะยอมรับการแจ้งช่องโหว่ลักษณะนี้แล้ว ขณะที่นักวิจัยที่เคยแจ้งช่องโหว่เหล่านี้มาก่อนหน้านี้ Valve ระบุว่าจะดำเนินการต่อไป
อย่างไรก็ตาม ArsTechnica ระบุว่าหนึ่งในนักวิจัยที่เคยถูก Valve ปฏิเสธระบุว่ายังไม่ได้รับการติดต่อจาก Valve รวมถึงหน้ารายงานบั๊กของ Valve บน HackerOne ก็ยังคงไม่สามารถเข้าได้
ที่มา - ArsTechnica
Comments
จริงๆ ต่อให้นอก scope ก็แจ้งนักวิจัยว่านอก scope ไม่จ่ายเงิน แต่แก้ไข + ให้เครดิตก็ยังดีนะ
lewcpe.com, @wasonliw
สัปดาห์นี้? สัปดาห์ก่อน?
มองว่าก ?