AMD исправила RCE-уязвимость за 124 дня и не заплатила $10 тыс.

AMD оказалась в споре с исследователем безопасности после исправления критической уязвимости в системе автообновления драйверов. Исследователь утверждает, что сообщил о сценарии удаленного выполнения кода через атаку «человек посередине», ждал стандартную выплату в $10 тыс., но получил отказ. На закрытие проблемы у компании ушло 124 дня. По описанию исследователя, проблема затрагивала механизм автоматической доставки и установки обновлений AMD. При определенных условиях злоумышленник мог перехватить трафик между системой пользователя и инфраструктурой обновлений, а затем подменить содержимое. Такой класс атак относится к MITM, когда атакующий встраивается между двумя узлами связи и получает возможность читать или менять передаваемые данные. Отчет был подан через программу bug bounty, после чего AMD отклонила выплату. Основание, по словам исследователя, было формальным: компания не относит MITM-сценарии к случаям, подпадающим под вознаграждение по своей политике. При этом патч позже все же вышел, а сам процесс исправления сопровождался переносами сроков и расширением перечня затронутых компонентов. Исследователь, как утверждается, соблюдал эмбарго и даже удалил публикацию о проблеме до выхода исправления. Для программ поиска уязвимостей такая коллизия чувствительна. Удаленное выполнение кода обычно относится к самым дорогим классам находок, потому что позволяет запускать произвольный код на чужой системе. Для сравнения, Google в отдельных программах платит за такие находки суммы на порядок выше, а Microsoft в своих bounty отдельно выделяет наиболее опасные цепочки атак. На этом фоне отказ AMD выглядит не как спор о размере премии, а как вопрос о границах собственной политики раскрытия и мотивации исследователей. История важна и для рынка драйверов в целом. Каналы обновлений давно остаются привлекательной целью, потому что дают доступ сразу к большому числу устройств, а атаки на цепочку поставок софта за последние годы стали отдельным классом инцидентов. Если AMD не пересмотрит правила программы, компания рискует получать меньше ранних сообщений о сложных сценариях, которые формально не вписываются в bounty, хотя на практике требуют срочного патча....

Сообщает itzine.ru

 

Новость из рубрики: Технологии, Наука

 

Поделиться новостью:

 

Топ новости часа

• Соцсеть «ВКонтакте» запустила групповые видеозвонки...
• Компания Apple зарегистрировала 9 новых моделей iPhone...
• В первой половине 2025 года Контактный центр Azercell принял более 2,5 миллиона обращений...
• Можно ли использовать домашний адрес как юридический?...
• Почему стоит выбрать интернет-магазин косметики Romanovamakeup?...
• Официальный визит президента ОАЭ Мухаммеда Аль Нахайяна в Россию завершен...