Все новости
Это интересно
Сейчас читают
Игры
Аватар Evernews Evernews

AMD отказалась платить за уязвимость в системе обновления ПО — в итоге ее исправляли больше 100 дней

1
0
Поделиться
Телеграфировать

В итоге устранение проблемы заняло 124 дня.

AMD отказалась платить за уязвимость в системе обновления ПО — в итоге ее исправляли больше 100 дней

Компания AMD отказалась платить исследователю безопасности MrBruh за уязвимость, найденную в ее системе обновления ПО. Проблема касалась механизма загрузки обновлений.

Исследователь обнаружил, что система использовала небезопасное соединение, из-за чего злоумышленник теоретически мог вмешаться в процесс скачивания файлов и подменить их. Через программу AMD Bug Bounty исследователь сообщил компании о найденной уязвимости.

Компания признала проблему, но отказалась выплачивать награду за ее обнаружение: в AMD заявили, что атаки такого рода не входили в перечень сценариев, покрываемых правилами программы. В то же время компания попросила исследователя временно убрать публикацию с подробностями, пообещав выпустить CVE и исправить проблему.

Кроме того, AMD поменяла правила программы Bug Bounty, запретив выкладывать информацию об уязвимостях, не соответствующих правилам программы.

В итоге устранение уязвимости заняло у AMD 124 дня. Новая версия системы обновлений не только перешла на шифрованное соединение: заодно AMD переделала механизм загрузки. Но компания проверяет файлы с помощью хэша CRC32, не считающегося криптографически надежным.

Представители AMD пока не прокомментировали жалобы исследователя.

Читать далее
Crimson Desert - будущая игра года?
Да, великая игра
718 голосов, 42.8%
Неплохая, но не игра года
577 голосов, 34.4%
Ужасная игра, ей никогда не победить
381 голос, 22.7%
Теги: Игры, AMD
Аватар Evernews
Evernews
8090 подписчиков