Сегодня 04 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

AMD отказалась выплатить вознаграждение за обнаружение уязвимости и исправила её за 124 дня

AMD отказалась выплатить исследователю в области кибербезопасности вознаграждение в размере $10 000, хотя он оказал компании помощь и сотрудничал с ней. Начало инцидента пришлось на февраль — эксперт обнаружил в системе обновления ПО AMD уязвимость, позволявшую осуществлять атаку класса «человек посередине» и запускать удалённое выполнение кода.

 Истчоник изображений: amd.com

Истчоник изображений: amd.com

Обнаруживший проблему исследователь по имени Пол отправил отчёт на сайт AMD в рамках программы обнаружения ошибок и подал заявку на выплату вознаграждения. В выплате денег ему было отказано, потому что атаки типа «человек посередине» не подпадают под действие политики. Тем не менее, Пол по просьбе AMD удалил соответствующую публикацию в своём блоге, а сейчас открыл её снова, и история оказалась оригинальной.

К настоящему моменту AMD исправила уязвимость, и актуальная версия её программного пакета защищена от данной атаки. Но путь к этому был непростым и небыстрым. Когда Пол обнаружил ошибку, компания попросила его закрыть публикацию в блоге, пообещала зарегистрировать CVE-номер уязвимости, исправить своё ПО и указать авторство исследователя, но сразу заявила, что денег не будет. Пол согласился, но уточнил, в какой срок компания намерена решить проблему, предложив стандартный — в 90 дней. AMD ответила, что ей «вероятно, потребуется более длительный эмбарго, потому что, видимо, затронуты и другие инструменты, помимо Ryzen Master, и потребуются дополнительные обновления».

Это вызвало сразу три вопроса. Во-первых, в коде, казалось, было достаточно исправить всего один символ — заменить «http» на «https». Во-вторых, если на решение проблемы требуется так много времени, то почему ему всё-таки не согласились заплатить? В-третьих, если проблема настолько важная, то почему AMD не присвоила ей более высокий приоритет?

В итоге, когда истёк оговорённый 100-дневный срок, и Пол поинтересовался, как продвигается решение проблемы, в компании попросили дополнительное время, потому что «ошибка затрагивает несколько инструментов», и «клиенты AMD запросили продление срока после того, как выйдут обновления». Обновление, сообщили в AMD, в итоге вышло 9 июня, то есть через 124 дня после обнаружения уязвимости. Компания действительно переработала код загрузки в автоообновлении, и Пол подтвердил, что теперь драйверы загружаются в безопасном режиме. Правда, отметил он, действительность загруженного файла проверяется с помощью устаревшего алгоритма хеширования CRC32, который уже не считается криптографически безопасным.

И, пожалуй, самое забавное в этой истории рассказал один из пользователей платформы Reddit. По его сведениям, эксплуатировать обнаруженную Полом уязвимость не получилось бы, потому что соответствующий фрагмент изначально не вызывался. Другими словами, AMD не могла обновить систему обновлений, потому что код обновления не мог обновиться, и пользователям требовалось устанавливать ПО вручную.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Производители памяти призвали власти США отказаться от регулирования рынка, чтобы не стало ещё хуже 14 мин.
Alibaba представила ИИ-агента для поиска сверхпроводников — он сразу открыл четыре новых 46 мин.
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров 2 ч.
DriveNets представила коммутаторы 2600SL и 2601S с 64 портами на 1,6 Тбит/с 3 ч.
Samsung нацелилась стать главным производителем ИИ-чипов — она привлекла Anthropic и Meta 3 ч.
Новые складные смартфоны Samsung будут дороже предшественников на €100–€280 5 ч.
К выпуску готовится антикризисный SSD Samsung 990 с PCIe 4.0 и скоростью чтения до 7250 Мбайт/с 6 ч.
Samsung в III квартале хочет повысить цены на DRAM на 20 % — LPDDR может подорожать сильнее 8 ч.
Вслед за Kioxia компания Sandisk объявила о начале поставок NAND-памяти, выпущенной по технологии BiCS10 8 ч.
Китай испытал самый выносливый апогейный ракетный двигатель в мире — он вдвое превзошёл западные аналоги 8 ч.