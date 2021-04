Gruppen/någon har den 10:e april registrerat en CVE, vilket är bra. En sårbarhet utan är CVE är svår att ta på allvar men nu kan den välateblerade processen komma igång där sårbarheten analyseras av oberoende part. När det är gjort så har Valve absolut inga möjligheter att sopa detta under mattan.

All information som anses vara trovärdig kommer finnas länkad på MITRE och NVD.

Edit: Att CVE:n registrerade först i lördags får mig att ana att Secret Club/floesen_ hanterat detta aningen -- Jag vet inte vilket ord jag ska använda -- Oerfaret ? Att Twittra, skriva foruminlägg (etc) om en sårbarhet och hävda att Valve förhindrar dem att publicera information är INTE rätt metod. Ett stort antal sårbarheter har registreras och rättats i Valves mjukvara genom åren, och de har både en hall of fame för folk som hittat sårbarheter, och ett bug bounty-program på HackerOne med rewards, så jag förstår inte varför de skulle vägra just denna.

Edit 2: Jag läser vidare och hittar antydan om att sårbarheten skulle ha rapporterats till Valve för två år sedan just på deras bug bounty-program (men hittar ingen relevant entry där). Skulle det nu vara så att Valve faktiskt ignorerar en legitim in-scope sårbarhet så kan jag förstå och acceptera twittrandet.

Edit 3: Här är ett screenshot på floesens_ rapport på HackerOne till Valve. Då kan twittrande/forumpostande vara mer motiverat. En tumregel är att ge företag 90 dagar på sig att rätta en sårbarhet efter att man rapporterat den. Om inget händer kan det anses vara nödvändigt att göra en "full disclosure" (det vill säga dela med sig av delar av- eller all information om sårbarheten till allmänheten och på så vis tvinga fram en åtgärd från företaget. Det är inte speciellt ovanligt.

Hur som helst har nu många elaksinnade aktörer sannolikt tillräckligt mycket information (buffer overflow/source engine/invite link) för att kunna "återskapa" sårbarheten. Om allt stämmer lär det inte dröja länge innan vi har en PoC på GitHub, SecLists, och/eller i privata forum. Så Valve lär agera inom kort.