AMD відмовилась виплачувати досліднику винагороду в $10000 за виявлення критичної вразливості

AMD відмовила досліднику у виплаті винагороди в розмірі $10000 за виявлення критичної вразливості та згодом змінила правила.

Читайте также: Штрафів уже недостатньо: в Україні хочуть запровадити бальну систему для водіїв та призупиняти дію прав

Нещодавно компанія виправила вразливість видаленого виконання коду у власному ПЗ під час автоматичного оновлення. Вразливість була виявлена дослідником з безпеки MrBruh після того, як на його новому ігровому ПК постійно почало з’являтись вікно оновлення AMD. 

Декомпіляція ПЗ показала, що хоча програма оновлення AMD завантажувала список оновлень за протоколом HTTPS, самі посилання для завантаження виконуваних файлів використовували звичайний HTTP. При цьому програма оновлення не здійснювала перевірку сертифікатів та автентичності підпису перед запуском завантаженого файлу.

Ця вразливість дозволяє провести атаку відому, як MitM (атака посередника). Зловмисник у тій самій мережі може отримати контроль над з’єднанням на вищому рівні та потенційно замінити файл оновлення AMD на шкідливий виконуваний файл. Оскільки програма оновлення запускається з підвищеними привілеями, це може призвести до видаленого виконання коду. 

MrBruh виявив вразливість 27 січня та повідомив про неї AMD 6 лютого у рамках програми винагород за виявлення вразливостей. Однак компанія приховала звіт, оскільки на думку представників AMD, він виходив за межі програми та стосувався додаткових інструментів. Таким чином досліднику відмовили у винагороді, хоча вразливість пізніше отримала ідентифікатор CVE-2026-40677 та оцінку CVSS 4.0 7.7. Процес тривав 124 дні, а ембарго завершилось 9 червня.

Після того як MrBruh  оприлюднив дані про вразливість на Hacker News, де інформація набула широкого розголосу, внутрішня команда PSIRT AMD заявила, що проблема все ще розглядається. Після в компанії попросили дослідника видалити власний пост поки триває робота над виправленням, заявивши, що розкриття інформації не відповідає умовам програми.

Читайте также: З’явилися нові подробиці про God of War: Laufey — вбиті боги і масштаб Ragnarök

За даними Gamers Nexus, пізніше AMD змінила формулювання правил програми винагороди за виявлення вразливостей, зазначивши, що дослідники не повинні розголошувати інформацію про вразливості без письмової згоди AMD, навіть у випадках, коли винагорода за виявлення не присуджується або ситуація виходить за межі програми.

Таким чином AMD звинуватила дослідника у порушенні правила, яке сама щойно ввела. В офіційному бюлетені визнана вказана вразливість та вказується, що її виявив MrBruh. Серед версій, у яких вона була усунена, вказуються AMD Ryzen Master 2.14.3, AMD µProf 5.3 та AMD Management Console 14.0.0. 

Компанія AMD повідомила досліднику, що тепер усі повідомлення про оновлення використовують протокол HTTPS і проходять перевірку підпису. Дослідник стверджує, що перевірив заяву щодо HTTPS, але виявив лише перевірку CRC32 у завантаженому виконуваному файлі, яка не вважається криптографічним підписом.

MrBruh також повідомляє про окрему помилку перенаправлення, через яку програма оновлення може працювати некоректно. Він рекомендує користувачам повністю видалити програмне забезпечення AMD і завантажити останні версії вручну з вебсайту компанії.

Читайте также: Притула Діти: биография, личная жизнь и творческий путь

Джерело: TechSpot