Сегодня 15 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

AMD отказалась выплатить вознаграждение за обнаружение уязвимости и исправила её за 124 дня

AMD отказалась выплатить исследователю в области кибербезопасности вознаграждение в размере $10 000, хотя он оказал компании помощь и сотрудничал с ней. Начало инцидента пришлось на февраль — эксперт обнаружил в системе обновления ПО AMD уязвимость, позволявшую осуществлять атаку класса «человек посередине» и запускать удалённое выполнение кода.

 Истчоник изображений: amd.com

Истчоник изображений: amd.com

Обнаруживший проблему исследователь по имени Пол отправил отчёт на сайт AMD в рамках программы обнаружения ошибок и подал заявку на выплату вознаграждения. В выплате денег ему было отказано, потому что атаки типа «человек посередине» не подпадают под действие политики. Тем не менее, Пол по просьбе AMD удалил соответствующую публикацию в своём блоге, а сейчас открыл её снова, и история оказалась оригинальной.

К настоящему моменту AMD исправила уязвимость, и актуальная версия её программного пакета защищена от данной атаки. Но путь к этому был непростым и небыстрым. Когда Пол обнаружил ошибку, компания попросила его закрыть публикацию в блоге, пообещала зарегистрировать CVE-номер уязвимости, исправить своё ПО и указать авторство исследователя, но сразу заявила, что денег не будет. Пол согласился, но уточнил, в какой срок компания намерена решить проблему, предложив стандартный — в 90 дней. AMD ответила, что ей «вероятно, потребуется более длительный эмбарго, потому что, видимо, затронуты и другие инструменты, помимо Ryzen Master, и потребуются дополнительные обновления».

Это вызвало сразу три вопроса. Во-первых, в коде, казалось, было достаточно исправить всего один символ — заменить «http» на «https». Во-вторых, если на решение проблемы требуется так много времени, то почему ему всё-таки не согласились заплатить? В-третьих, если проблема настолько важная, то почему AMD не присвоила ей более высокий приоритет?

В итоге, когда истёк оговорённый 100-дневный срок, и Пол поинтересовался, как продвигается решение проблемы, в компании попросили дополнительное время, потому что «ошибка затрагивает несколько инструментов», и «клиенты AMD запросили продление срока после того, как выйдут обновления». Обновление, сообщили в AMD, в итоге вышло 9 июня, то есть через 124 дня после обнаружения уязвимости. Компания действительно переработала код загрузки в автоообновлении, и Пол подтвердил, что теперь драйверы загружаются в безопасном режиме. Правда, отметил он, действительность загруженного файла проверяется с помощью устаревшего алгоритма хеширования CRC32, который уже не считается криптографически безопасным.

И, пожалуй, самое забавное в этой истории рассказал один из пользователей платформы Reddit. По его сведениям, эксплуатировать обнаруженную Полом уязвимость не получилось бы, потому что соответствующий фрагмент изначально не вызывался. Другими словами, AMD не могла обновить систему обновлений, потому что код обновления не мог обновиться, и пользователям требовалось устанавливать ПО вручную.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Партийная RPG с японским колоритом Expeditions: Samurai прорубит дорогу в ранний доступ Steam уже совсем скоро — новый трейлер и дата выхода 5 ч.
Spotify превратил поиск музыки в простой диалог с ИИ 6 ч.
Короткие ссылки Telegram снова работают: домен t.me восстановился спустя сутки после отключения 6 ч.
Telegram получил мощный редактор статей, сообщества и 350 млн GIF 7 ч.
«В таком климате вы никогда не дождётесь новой WoW или Morrowind»: продюсер Doom: The Dark Ages обрушился с критикой на владельцев игровой индустрии 9 ч.
Еврокомиссия одобрила обязательства SAP по устранению нарушений антиконкурентного законодательства 9 ч.
Вышел релиз OpenIDE Pro — корпоративной версии российской интегрированной среды разработки 10 ч.
«После долгих лет преданности компания отвернулась от нас»: разработчики Assassin’s Creed Black Flag Resynced выступили против несправедливых увольнений 10 ч.
Dying Light: The Beast всё-таки не выйдет на PS4 и Xbox One — Techland раскрыла причину отмены 11 ч.
Samsung Health будет удалять данные пользователей, которые запретят обучать на них ИИ 11 ч.