AMD не выплатила $10 000 исследователю за уязвимость в автообновлении

AMD не выплатила $10 000 исследователю за уязвимость в автообновлении

Компания AMD отказалась выплатить исследователю безопасности вознаграждение в размере $10 000 за обнаружение уязвимости в программном обеспечении автоматического обновления. Эксперт нашел потенциальную возможность удаленного выполнения кода через атаку типа «человек посередине» (MITM) в одном из компонентов обновления.

Исследователь направил отчет через программу bug bounty на сайте AMD, рассчитывая на выплату и исправление. Однако компания отклонила заявку, объяснив, что атаки MITM не входят в scope программы. По просьбе AMD автор временно удалил публикацию в блоге, описывающую уязвимость, получив обещание выпустить CVE, приписать ему авторство, но без финансовой компенсации.

Эксперт согласился на 100-дневный срок неразглашения. После его истечения AMD запросила дополнительное время, сославшись на пожелания клиентов. В итоге исправление вышло через 124 дня после первоначального обнаружения. Как выяснилось, компания полностью переработала код загрузки, и новая версия безопасно загружает драйверы.

Исследователь, однако, отметил, что проверка загруженного файла все еще использует устаревший хеш CRC32, который не считается криптографически безопасным. При этом, по словам пользователя Reddit, эксплуатация обнаруженной уязвимости была невозможна, так как соответствующий фрагмент кода изначально не вызывался.

Для AMD проблема заключалась в том, что система обновлений не могла обновиться автоматически, и пользователям требовалось устанавливать ПО вручную. Инцидент поднимает вопросы о политике bug bounty и сроках устранения уязвимостей в крупных технологических компаниях.