Компания Valve исправила две уязвимости, связанные с повышением уровня привилегий

Российский исследователь проблем кибербезопасности Василий Кравец, судя по всему, берет верх в борьбе с гигантом игровой индустрии, американской компанией Valve. В начале августа Кравец обнаружил уязвимость нулевого дня в игровом клиенте Steam от Valve. Она позволяла осуществить повышение уровня привилегий до административного и выполнить от имени Steam любой код, включая и вредоносные.

Компания Valve поддерживает программу премирования исследователей за найденные уязвимости (bug bounty) на платформе HackerOne. Туда и направил свой отчет Василий Кравец – и получил отказ. Представители программы заявили, что описанная им атака требует предварительного доступа злоумышленника к устройству и инфицирования его вредоносным ПО, а потому не является проблемой Valve. Возмущенный исследователь вступил в спор, пытаясь доказать, что клиент Steam по сути своей предназначен для запуска программ (игр), созданных не самой компанией Valve, а сторонними разработчиками, а потому компания должна следить за тем, чтобы он не мог получить максимальные привилегии. В результате Valve не только отказалась исправлять уязвимость, но и заблокировала аккаунт специалиста в программе bug bounty.

В ответ на это Василий Кравец публично сообщил об уязвимости, а через несколько дней обнаружил и раскрыл еще одну, аналогичную предыдущей. Ситуация привлекла внимание общественности, Valve подверглась резкой критике за то, что, игнорируя проблемы, ставит под угрозу безопасность почти 100 миллионов своих пользователей. В итоге компания вынуждена была пересмотреть позицию. Она уже исправила обе уязвимости, а также внесла изменения в правила своей программы bug bounty. В распространенном Valve пресс-релизе сказано, что ситуация стала следствием неверной трактовки существовавших ранее правил программы. Тем не менее к настоящему моменту аккаунт российского исследователя в программе все еще заблокирован. Будет ли ему выплачено какое-либо вознаграждение – также неизвестно.

Источник: The Register

13.05.2026 Новости компании

В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su

С 1 сентября 2026 года в России вводится обязательная идентификация администраторов доменов в зонах .ru, .рф и .su через портал «Госуслуги» (ЕСИА). Такая норма закреплена в Федеральном законе от 29.12.2025 № 569-ФЗ. С момента вступления в силу новых требований зарегистрировать домен или продлить существующий можно будет только после подтверждения личности с помощью верифицированного аккаунта на «Госуслугах».

13.05.2026 Новости компании

ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum

Центр сертификации ТЦИ расширил линейку TLS-сертификатов. Теперь наряду с привычными вариантами на 90 и 365 дней пользователям доступны сертификаты сроком на 199 дней. Это соответствует новым требованиям организации CA/Browser Forum, которая с 15 марта 2026 года установила максимальный срок действия публичных TLS-сертификатов в 200 дней.

28.04.2026 Новости компании

Стартовал прием заявок на конкурс «DOT-журналистика»

«Технический центр Интернет» стал партнером 14-го конкурса для профессиональных и начинающих журналистов «DOT-журналистика 2026». Конкурс проводится Координационным центром доменов .RU/.РФ и Российской ассоциацией электронных коммуникаций.

20.04.2026 Новости компании

В зонах .RU и .РФ нормализовано 226 тыс. контактов администраторов доменов из более чем 6,5 млн

«Технический центр Интернет» представил промежуточные результаты нормализации контактных данных в реестре доменных имён в зонах .RU и .РФ по состоянию на начало апреля 2026 года. В двух зонах суммарно нормализовано 226 008 контактов, на которые приходится 459 731 домен, тогда как ненормализованными остаются 6 358 079 контактов и 6 451 873 домена.

Компания Valve исправила две уязвимости, связанные с повышением уровня привилегий

Контакты

Клиентская служба