AMD отказалась платить за уязвимость в системе обновления ПО — в итоге ее исправляли больше 100 дней
В итоге устранение проблемы заняло 124 дня.
Компания AMD отказалась платить исследователю безопасности MrBruh за уязвимость, найденную в ее системе обновления ПО. Проблема касалась механизма загрузки обновлений.
Исследователь обнаружил, что система использовала небезопасное соединение, из-за чего злоумышленник теоретически мог вмешаться в процесс скачивания файлов и подменить их. Через программу AMD Bug Bounty исследователь сообщил компании о найденной уязвимости.
Компания признала проблему, но отказалась выплачивать награду за ее обнаружение: в AMD заявили, что атаки такого рода не входили в перечень сценариев, покрываемых правилами программы. В то же время компания попросила исследователя временно убрать публикацию с подробностями, пообещав выпустить CVE и исправить проблему.
Кроме того, AMD поменяла правила программы Bug Bounty, запретив выкладывать информацию об уязвимостях, не соответствующих правилам программы.
В итоге устранение уязвимости заняло у AMD 124 дня. Новая версия системы обновлений не только перешла на шифрованное соединение: заодно AMD переделала механизм загрузки. Но компания проверяет файлы с помощью хэша CRC32, не считающегося криптографически надежным.
Представители AMD пока не прокомментировали жалобы исследователя.
- AMD почему-то отключила шифрование памяти у процессоров Ryzen
- Инсайд: новые процессоры Ryzen лишатся графики ради ИИ и останутся без USB4
- На МКС сломалась робо-рука Canadarm2: для ремонта придется выйти в открытый космос
- Сделай ядерку: вредоносные пакеты Hades научились сбивать с толку ИИ-сканеры
- Ryzen 7 5800X3D пришлось частично перепроектировать для выпуска юбилейной партии
- Китайскую Radeon RX 9070 GRE выпустят глобально — это конкурент GeForce RTX 5060 Ti
