发布时间:2024-06-05 07:44:02 | 阅读量:53
Valve 向一名安全研究人员奖励 7500 美元,以报告一个允许玩家伪造 Steam 钱包信用额度的漏洞。
据《每日新闻》报道,研究人员“drbrix”通过 HackerOne 报告了这一漏洞,称他们“发现了一个漏洞,可让攻击者生成 Steam 钱包余额”。该漏洞现已解决,允许 Steam 帐户电子邮件地址中带有“amount100”的玩家拦截通过 Smart2Pay 进行的付款并人为增加金额(感谢 NME)。
在详细说明了漏洞是如何产生的之后,Valve 的 JonP 立刻向 drbrix 表示感谢,并同意 Valve 团队已经能够“验证这一情况确实如描述的那样”,并且正在采取措施解决它。
在通过 Valve 进行分类后,drbrix 被邀请再次尝试利用该漏洞,之后 JonP 向报告者提供了 7500 美元(约合 5400 英镑)的赏金,并将问题从中等严重性升级为严重。
“感谢您的报告,”JonP 说。“报告写得非常清楚,有助于识别真正的业务风险。我们已将严重程度评估改为严重,以反映业务可能遭受的成本,并据此发放了赏金。我们希望将来能收到您的更多反馈。”
在撰写本文时,Valve 尚未声明该漏洞是否已被黑客滥用,或者是否已设法在漏洞被滥用之前缓解该问题。
ICYMI,Valve 在其官方 YouTube 频道上发布了八个月来的第一个视频:“介绍 Steam Deck”。
正如韦斯昨天总结的那样,该视频直接概括了 Valve 即将推出的掌上游戏机的功能,并简明扼要地介绍了该设备。
Steam Deck 的需求持续强劲,预订开放后不久供应就被推迟。查看 Digital Foundry 的 Steam Deck 分析了解更多信息。