完整標題是 Valve 修復可透過使用 Source 引擎的遊戲進行遊戲邀請， 並從之進行遠端程式碼執行的漏洞 secret club 在推特上提到 Valve 的這個漏洞經過了兩年回報還沒修復(2021/04/10)： https://twitter.com/the_secret_club/status/1380868759129296900 然後過了幾天 Valve 就發佈了完整的修復 secret club 對於此漏洞的詳細說明跟評論(2021/04/20)： https://secret.club/2021/04/20/source-engine-rce-invite.html 標題為： CVE-2021-30481: Source engine remote code execution via game invites 節錄回報問題的過程以及結語 2019/06/05 在 HackerOne 上向 Valve 回報問題 2019/09/14 漏洞分類 2020/10/23 支付賞金($8000)並通知已經在 TF2 發佈了初步的修復 2021/04/10 secret club 在推特上抱怨 Valve 把這個漏洞擺了兩年還不修，也不讓 secret club 公開 2021/04/17 完整修復 展示的程式碼可以在 Github 上看到。 https://github.com/floesen/CVE-2021-30481 這個漏洞的嚴重程度被 Valve 定為 9.0 (critical)。 (略過) 最後，我想要談談別的事情。我個人認為，在這裡談談 Valve 以及他們的漏洞賞金計畫非 常重要。總的來說，公開這個漏洞的存在(譯註：secret club 的推特)對於 Valve 處理漏 洞很慢這件事激起了不小的波瀾。我不是想要指責 Valve 並抱怨我受到的對待；我是希望 能夠對長久的未來做出改變。其他研究者已經投入以及未來將投入對漏洞追尋的精力不應 該被白費。希望在未來這些事情能夠有所改善，好讓我樂意再與 Valve 合作並強化他們遊 戲的安全性。 -- https://i.imgur.com/oqoPJG3.gif -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.225.58.93 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1619007894.A.65C.html ※ 編輯: nh60211as (36.225.58.93 臺灣), 04/21/2021 20:27:35