AMD отказалась платить за уязвимость в системе обновления ПО — в итоге ее исправляли больше 100 дней

В итоге устранение проблемы заняло 124 дня.

Компания AMD отказалась платить исследователю безопасности MrBruh за уязвимость, найденную в ее системе обновления ПО. Проблема касалась механизма загрузки обновлений.

Исследователь обнаружил, что система использовала небезопасное соединение, из-за чего злоумышленник теоретически мог вмешаться в процесс скачивания файлов и подменить их. Через программу AMD Bug Bounty исследователь сообщил компании о найденной уязвимости.

Компания признала проблему, но отказалась выплачивать награду за ее обнаружение: в AMD заявили, что атаки такого рода не входили в перечень сценариев, покрываемых правилами программы. В то же время компания попросила исследователя временно убрать публикацию с подробностями, пообещав выпустить CVE и исправить проблему.

Кроме того, AMD поменяла правила программы Bug Bounty, запретив выкладывать информацию об уязвимостях, не соответствующих правилам программы.

В итоге устранение уязвимости заняло у AMD 124 дня. Новая версия системы обновлений не только перешла на шифрованное соединение: заодно AMD переделала механизм загрузки. Но компания проверяет файлы с помощью хэша CRC32, не считающегося криптографически надежным.

Представители AMD пока не прокомментировали жалобы исследователя.