AMD устранила уязвимость спустя 124 дня и отказала в выплате исследователю $10 000
AMD отказалась выплачивать вознаграждение исследователю, обнаружившему потенциальную уязвимость в механизме автоматического обновления фирменного программного обеспечения компании. При этом компания исправила уязвимость после ее обнаружения, сообщает Tom's Hardware.
Исследователь сообщил AMD о возможности удаленного выполнения кода через атаку типа "человек посередине" (MITM), которая могла затронуть систему загрузки обновлений. Отчет был направлен через официальную программу поиска уязвимостей, однако компания отклонила заявку на выплату вознаграждения, сославшись на то, что подобный сценарий не подпадает под действующие правила программы Bug Bounty.
Несмотря на отказ в выплате, AMD попросила автора временно удалить публикацию с описанием проблемы. Взамен компания пообещала подготовить исправление, зарегистрировать уязвимость в системе CVE и указать исследователя в качестве первооткрывателя. Специалист согласился на эти условия и предложил придерживаться стандартного для отрасли 90-дневного периода ответственного раскрытия информации.
Однако AMD сообщила, что на подготовку исправления потребуется больше времени, поскольку аналогичная проблема может затрагивать не только Ryzen Master, но и другие продукты компании. Впоследствии срок ожидания был увеличен до 100 дней, а затем продлен еще раз по просьбе клиентов AMD, которым потребовалось дополнительное время для внедрения обновлений.
В результате исправление было выпущено лишь спустя 124 дня после первоначального уведомления. По словам исследователя, компания существенно переработала механизм загрузки обновлений. Новая реализация устранила выявленную проблему и обеспечила безопасную загрузку файлов по защищенным каналам.
При этом специалист обратил внимание, что проверка целостности загружаемых файлов по-прежнему опирается на алгоритм CRC32, который считается устаревшим и не соответствует современным требованиям криптографической безопасности.