Das ist doch kein Bug!
In der Entwicklung tauchte dann auch Matt Nelson auf, der in der Security-Szene zu den bekannteren Namen gehört. Dieser berichtete, dass er die gleiche Lücke wie Kravets gefunden hatte - allerdings wohl etwas später. Auch er habe versucht, das Problem zu melden und stieß auf die gleichen Schwierigkeiten.Die Sache entwickelte sich für Valve noch weiter zum Fiasko, als Kravets eine weitere Sicherheitslücke im Steam-Client entdeckte. Da die direkten Kommunikationswege zu Valve inzwischen aber versperrt waren, entschied er sich, die Zero-Day-Lücke gleich öffentlich zu machen. Eventuell hätte er hier auch über Dritte versuchen können, Gehör zu finden - allerdings war ja ohnehin klar, dass das Unternehmen daran nicht sonderlich viel Interesse hatte.
Aktuell kann im Grunde nur spekuliert werden, warum die Leute bei Valve sich auf diese Weise verhalten. Möglicherweise rühren die Streitigkeiten aus einer unterschiedlichen Betrachtung der Art der Schwachstellen, um die es hier geht. Die Bugs, die als Local Privilege Escalation bezeichnet werden, erlauben es, Code auf einem System mit mehr Rechten auszustatten, als der Administrator ihm zugestehen würde. So lässt sich Malware, die man einem einfachen Nutzer untergeschoben hat, beispielsweise mit Root-Rechten versehen. Bei Valve betrachtet man das allerdings nicht als echte Sicherheitslücke, so dass die Prozesse der Patch-Entwicklung überhaupt nicht richtig zum Tragen kommen.