AMD исправила уязвимость за 124 дня и не заплатила $10 тыс.

AMD закрыла уязвимость в механизме обновления своего ПО через 124 дня после сообщения исследователя и отказалась платить ему вознаграждение в $10 тыс. Речь шла об атаке класса «человек посередине», которая позволяла подменить загружаемый файл и довести сценарий до удалённого выполнения кода. Исследователь по имени Пол сообщил о проблеме ещё в феврале, а обновление вышло 9 июня. По описанию Пола,

проблема находилась в системе автообновления AMD. Компания попросила его скрыть публикацию в блоге, пообещала зарегистрировать CVE, подготовить патч и указать авторство, но сразу предупредила, что выплата не предусмотрена. Основание было формальным: атаки типа MITM не входят в правила программы bug bounty AMD, даже если в конкретном случае они открывали путь к исполнению кода. После установки исправления исследователь подтвердил, что загрузка теперь идёт по

защищённой схеме. При этом он обратил внимание на ещё одну деталь: целостность файла проверяется через CRC32, а этот алгоритм давно не рассматривают как криптографическую защиту. Для систем обновления это чувствительная зона. Через такие механизмы в прошлые годы проходили более крупные инциденты, включая атаку ShadowHammer на ASUS Live Update в 2019 году и компрометацию CCleaner в 2017-м. Уязвимость в системе автообновления AMD Срок раскрытия уязвимости обсуждался отдельно. Пол

предложил стандартные 90 дней, AMD ответила, что ей может понадобиться больше времени, потому что затронуты не только Ryzen Master, но и другие инструменты. В итоге стороны сошлись на 100 днях, однако и этот срок компания не выдержала. Когда исследователь запросил статус после

истечения оговорённого периода, AMD попросила дополнительное время. Компания объяснила задержку тем, что ошибка затрагивает несколько продуктов, а часть клиентов просила перенести раскрытие до выхода обновлений. Патч вышел лишь на 124-й день после первоначального отчёта. Спорным оказался и сам масштаб проблемы. По словам Пола, исправление в коде выглядело минимальным и сводилось фактически к замене «http» на «https». Это и стало одним из поводов для его вопросов к AMD: почему

простой на вид дефект исправляли четыре месяца, почему ему отказали в выплате и почему инцидент не получил более высокий приоритет внутри компании. Дополнительный поворот истории появился уже после публикации. Один из пользователей Reddit заявил, что соответствующий фрагмент кода изначально не вызывался, поэтому практическая эксплуатация могла оказаться невозможной. Если это верно, то AMD столкнулась с редкой для таких историй

ситуацией: уязвимость в модуле обновления существовала, а сам модуль не мог обновить себя автоматически, и пользователю требовалась ручная установка пакета. На рынке программ по поиску уязвимостей такой подход выглядит жёстким. Крупные вендоры обычно платят за баги в цепочке обновлений заметно больше: у Microsoft верхние планки по отдельным классам

уязвимостей доходят до десятков тысяч долларов, а Google в ряде программ заявляет выплаты свыше $30 тыс. Для AMD эта история бьёт не столько по бюджету, сколько по репутации программы disclosure. Следующий ответ исследователей станет виден уже по тому, как быстро

компания будет получать новые отчёты и насколько охотно авторы согласятся на закрытое эмбарго.

Сообщает itzine.ru

 

Новость из рубрики: Технологии и Hi-Tech

 

Поделиться новостью:

 

Топ Новости Недели

• Полное и подробное руководство по выбору смартфонов и мобильных телефонов: как разобраться в характеристиках, технологиях и функциях, чтобы найти идеальное устройство для работы, общения и развлечений...
• Как выбрать идеальный мобильный телефон в современном мире: подробное руководство по характеристикам, технологиям, функциям и грамотному подбору смартфона под любые задачи и стиль жизни...
• Искусство выбора зеркал для современного интерьера: как создать стильное пространство, визуально расширить помещение и подчеркнуть индивидуальность дизайна с помощью отражающих поверхностей...
• Полное руководство по выбору пленки для сада: современные материалы, защита растений, создание идеального микроклимата и повышение урожайности на вашем участке...
• Современный подход к выводу из запоя на дому: этапы медицинской помощи, особенности лечения в домашних условиях и комплексное восстановление физического и психологического состояния...
• Полное руководство по вызову нарколога на дом: как проходит медицинская помощь, детоксикация организма, стабилизация состояния и дальнейшее восстановление при зависимости...
• Как проходит профессиональный вывод из запоя на дому: безопасная медицинская помощь, детоксикация организма, психологическая поддержка и дальнейшее восстановление пациента...
• Комплексный медицинский подход к выводу из запоя в стационаре: этапы лечения, восстановление организма, психологическая поддержка и долгосрочная реабилитация...
• Полное руководство по сдаче тестов в университете имени С.Ю. Витте: как устроена система контроля знаний, особенности онлайн-экзаменов, подготовка студентов и современные образовательные технологии...
• Почему слухи про слив базы Семяныч неактуальны...