12 июня в IT House News компания TomsHardware сообщила, что исследователь безопасности недавно раскрыл полный процесс переговоров между ним и AMD относительно вознаграждения за обнаружение ошибок.
Хотя исследователь обнаружил и помог устранить уязвимость удаленного выполнения кода в автоматическом обновлении программного обеспечения AMD, AMD в конечном итоге отказалась выплатить вознаграждение в размере 10 000 долларов (примечание ИТ-дома: текущий обменный курс составляет примерно 67 876 юаней).
Исследователь под псевдонимом Пол представил отчет об уязвимостях еще в феврале этого года, указав, что программное обеспечение автоматического обновления AMD несет в себе риск удаленного выполнения кода в случае атаки «человек посередине». Однако компания AMD определила, что атаки «человек посередине» не подпадают под действие ее программы устранения ошибок, и поэтому отказалась выдать награду. Позже Пол временно удалил сообщение в блоге с описанием ситуации по запросу AMD. Теперь эта статья снова доступна в Интернете, полностью раскрывая месячный процесс общения между двумя сторонами.
Хорошей новостью является то, что рассматриваемый инструмент обновления теперь исправлен, но весь процесс далеко не гладкий, и Пол до сих пор не получил никакой компенсации. Эта уязвимость RCE стоила бы 10 000 долларов, если бы AMD полностью осознала серьезность проблемы.
В феврале этого года, когда AMD попросила Пола временно удалить его запись в блоге, он пообещал, что выпустит стандартный номер CVE, исправит программное обеспечение и припишет ему заслугу открытия, но уточнил, что вознаграждение не рассматривается. Пол согласился, хотя позже пожалел об этом.
Тогда он спросил, какие сроки примет AMD, и предложил принять общепринятый в отрасли 90-дневный период раскрытия информации. AMD ответила, что «может потребоваться более длительный период конфиденциальности, поскольку затронутые инструменты не ограничиваются Ryzen Master, и должны быть выпущены исправленные версии других инструментов».
Это заявление вызывает несколько вопросов: во-первых, на уровне кода это выглядит всего лишь изменением одного символа для замены «http» на «https», почему это занимает так много времени; во-вторых, если проблема настолько серьезна, что ее решение займет так много времени, то работа Пола должна быть соответствующим образом вознаграждена; в-третьих, если ситуация настолько срочная, почему AMD не придаст ей более высокий приоритет.
Несмотря на свои опасения, позже Пол согласился продлить срок до 100 дней. По мере приближения крайнего срока он спросил AMD о прогрессе, но снова попросил отсрочку. Причины, приведенные AMD, заключались в том, что «многие инструменты подвержены этой уязвимости» и «клиенты запросили больше времени, пока исправление не будет готово». В последнем уведомлении AMD говорилось, что исправление будет готово 9 июня, через 124 дня после первоначального отчета Пола.
Стоит отметить, что AMD полностью переработала код загрузки в средстве автоматического обновления, а Пол также подтвердил, что новая версия действительно может безопасно загружать драйверы. Однако он также отметил, что для проверки целостности загруженных файлов программное обеспечение использует только алгоритм хеширования CRC32, который больше не считается криптографически безопасным.
Связанное чтение:
-
《Исправлено: обнаружена уязвимость Fabricged процессора AMD EPYC, 100 % успех, SEV-SNP можно обойти.》
