Уязвимость в автообновлении AMD: исследователь не получил обещанные $10 000
Исследователь безопасности Пол ЛаРоза обнаружил, что утилита автоматического обновления AMD загружает программное обеспечение по незашифрованному протоколу HTTP, что делает пользователей уязвимыми для удалённого выполнения кода. После сообщения о проблеме компания AMD потратила 124 дня на исправление, но так и не выплатила исследователю вознаграждение в размере $10 000, предусмотренное программой bug bounty.
В мире кибербезопасности обнаружение серьёзной уязвимости обычно вознаграждается — но не в случае с AMD. Исследователь Пол ЛаРоза нашёл критический недостаток в системе автоматического обновления драйверов AMD, используемой утилитами вроде Ryzen Master.
Как работала уязвимость
Проблема заключалась в том, что автообновщик загружал файлы по незащищённому протоколу HTTP, а не HTTPS. Это открывало возможность для атаки «человек посередине»: злоумышленник, находящийся в той же сети, мог подменить легитимное обновление на вредоносное и получить полный контроль над системой во время рутинного процесса обновления.
Уязвимость классифицировалась как удалённое выполнение кода (RCE) — одна из самых опасных категорий. Она потенциально затрагивала всех пользователей AMD, применяющих официальные утилиты для настройки процессоров.
Реакция AMD и выплата баунти
После обращения ЛаРозы AMD подтвердила наличие проблемы, но процесс исправления затянулся на 124 дня — более четырёх месяцев. За это время миллионы пользователей оставались под угрозой атаки. Когда же уязвимость была устранена, компания отказалась выплачивать вознаграждение, предусмотренное её собственной программой bug bounty.
Сумма в $10 000 — стандартная выплата за критическую RCE-уязвимость во многих вендорских программах. Однако, по словам исследователя, AMD не предоставила официального объяснения, почему выплата не состоялась. ЛаРоза публично выразил разочарование, заявив, что подобное отношение подрывает доверие к программам поиска уязвимостей.
Инцидент поднимает важные вопросы о прозрачности и добросовестности практик кибербезопасности крупных производителей. Если исследователи не будут уверены в выплатах, они могут прекратить сообщать об ошибках, что в конечном итоге сделает продукцию менее безопасной.
На данный момент AMD официально не комментировала отказ от выплаты. Однако случай ЛаРозы уже получил широкую огласку в сообществе специалистов по кибербезопасности и может повлиять на репутацию компании.
Похожие статьи
Из чего состоит Земля: путешествие от коры до ядра
Земля — не однородный шар, а сложная слоистая структура. Каждый слой, от тонкой коры до раскалённого ядра, играет ключевую роль в жизни планеты.
500 лет до нашей эры: пять крупнейших армий древности, изменивших историю
До 500 года нашей эры лишь немногие державы могли выставить армии в сотни тысяч воинов. Вот пять крупнейших из них, от Цинь до Персии.
Цвет и блеск: как мозг оценивает еду до первого укуса
Японский ученый Масаси Накатани объяснил, как цвет, блеск и форма помогают нам заранее определить вкус и свежесть блюда.
Комментарии
0 всего