Новости Software

AMD не заплатила хакеру $10 000 за найденную уязвимость, а исправляла её 124 дня

Компания AMD отказалась выплатить специалисту по кибербезопасности вознаграждение в размере $10 000, несмотря на его содействие и сотрудничество. Инцидент начался в феврале, когда эксперт выявил в системе обновления программного обеспечения AMD уязвимость, которая позволяла проводить атаку типа «человек посередине» и осуществлять удалённое выполнение кода.

 Истчоник изображений: amd.com

Истчоник изображений: amd.com

Исследователь по имени Пол, обнаруживший проблему, направил отчёт на сайт AMD в рамках программы поиска ошибок и подал заявку на получение вознаграждения. В выплате средств ему было отказано, поскольку атаки типа «человек посередине» не соответствуют условиям политики. Тем не менее, по просьбе AMD Пол удалил соответствующую запись в своём блоге, а теперь снова опубликовал её, и эта история оказалась необычной.

На данный момент AMD устранила уязвимость, и актуальная версия её программного пакета защищена от подобной атаки. Однако путь к этому был сложным и долгим. Когда Пол обнаружил ошибку, компания попросила его скрыть публикацию в блоге, пообещала присвоить уязвимости CVE-номер, исправить своё ПО и указать авторство исследователя, но сразу заявила, что выплата не предусмотрена. Пол согласился, но уточнил сроки решения проблемы, предложив стандартный — 90 дней. AMD ответила, что ей «вероятно, потребуется более длительный период неразглашения, так как, по всей видимости, затронуты и другие инструменты, помимо Ryzen Master, и потребуются дополнительные обновления».

Это породило сразу три вопроса. Во-первых, в коде, казалось, достаточно было исправить всего один символ — заменить «http» на «https». Во-вторых, если для устранения проблемы требуется столько времени, то почему ему всё равно не выплатили вознаграждение? В-третьих, если проблема настолько серьёзная, то почему AMD не присвоила ей более высокий приоритет?

Когда оговоренный 100-дневный период подошел к концу, Пол решил уточнить, как продвигается работа над проблемой. В ответ компания попросила предоставить им еще немного времени, объяснив это тем, что «ошибка затрагивает сразу несколько инструментов», а «клиенты AMD попросили перенести сроки на период после выхода обновлений». Как сообщили в AMD, обновление в конечном счете было выпущено 9 июня — спустя 124 дня после того, как уязвимость была обнаружена. Компания действительно доработала код загрузки в механизме автообновлений, и Пол подтвердил, что теперь драйверы загружаются в безопасном режиме. Однако, как он отметил, подлинность загруженного файла проверяется с помощью устаревшего алгоритма хеширования CRC32, который больше не считается криптографически надежным.

И, пожалуй, самый забавный момент этой истории раскрыл один из пользователей Reddit. По его данным, эксплуатировать уязвимость, найденную Полом, было бы невозможно, поскольку соответствующий фрагмент кода изначально не выполнялся. Иными словами, AMD не могла обновить собственную систему обновлений, потому что код обновления был неспособен обновиться сам, и пользователям приходилось устанавливать программное обеспечение вручную.

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости