AMD отказалась выплатить вознаграждение за обнаружение уязвимости и исправила её за 124 дня

Эксперт по кибербезопасности раскрыл опасную уязвимость AMD, но остался без обещанного вознаграждения

Исследователь в области кибербезопасности по имени Пол обнаружил критическую уязвимость в системе автоматического обновления драйверов AMD, которая позволяла злоумышленникам проводить атаки класса «человек посередине» (MitM) и удаленно выполнять вредоносный код. Несмотря на сотрудничество с компанией и удаление публикации в своем блоге по ее просьбе, Пол не получил обещанных 10 000 долларов США. Причиной отказа стало формальное несоответствие обнаруженной угрозы условиям программы выплат.

Долгий путь к исправлению: 124 дня ожидания

Установка нестандартных сроков

Обнаружив уязвимость в феврале, Пол направил отчет в AMD в рамках программы bug bounty. Компания сразу заявила, что атаки MitM не подпадают под действие политики вознаграждений, но попросила исследователя не раскрывать информацию. Пол согласился на 90-дневный стандартный срок эмбарго, однако AMD запросила больше времени, сославшись на то, что проблема затрагивает «другие инструменты, помимо Ryzen Master».

Этот запрос вызвал у эксперта ряд вопросов: исправление требовало замены всего одного символа в коде (перехода с HTTP на HTTPS); если уязвимость настолько серьезна, почему компания не присвоила ей высокий приоритет и не выплатила вознаграждение?

Финал: обновление с оговорками

По истечении 100 дней AMD вновь попросила отсрочку, мотивируя это тем, что «ошибка затрагивает несколько инструментов», а «клиенты запросили продление срока». Исправление вышло только 9 июня, спустя 124 дня после обнаружения. AMD переработала код загрузки, и теперь драйверы загружаются в безопасном режиме. Однако, как отметил Пол, проверка подлинности загружаемого файла осуществляется с помощью устаревшего алгоритма хеширования CRC32, который уже не считается криптографически безопасным.

Ирония судьбы: уязвимость, которую нельзя было использовать

В истории обнаружился неожиданный поворот. Как выяснил один из пользователей платформы Reddit, эксплуатировать найденную Полом уязвимость на практике было невозможно. Соответствующий фрагмент кода в системе обновления изначально не вызывался. Это означает, что AMD не могла оперативно исправить собственную систему обновлений, поскольку код, отвечающий за обновление, сам не обновлялся. Пользователям пришлось бы устанавливать программное обеспечение вручную.

После того как AMD проигнорировала обязательства по присвоению CVE-номера и выплате вознаграждения, Пол повторно открыл свою публикацию, сделав историю достоянием общественности.