Молодой человек за компьютером с множеством мониторов AMD исправила RCE-уязвимость
Изображение Grok
Автор:

AMD оказалась в споре с исследователем безопасности после исправления критической уязвимости в системе автообновления драйверов. Исследователь утверждает, что сообщил о сценарии удаленного выполнения кода через атаку «человек посередине», ждал стандартную выплату в $10 тыс., но получил отказ. На закрытие проблемы у компании ушло 124 дня.

По описанию исследователя, проблема затрагивала механизм автоматической доставки и установки обновлений AMD. При определенных условиях злоумышленник мог перехватить трафик между системой пользователя и инфраструктурой обновлений, а затем подменить содержимое. Такой класс атак относится к MITM, когда атакующий встраивается между двумя узлами связи и получает возможность читать или менять передаваемые данные.

Отчет был подан через программу bug bounty, после чего AMD отклонила выплату. Основание, по словам исследователя, было формальным: компания не относит MITM-сценарии к случаям, подпадающим под вознаграждение по своей политике. При этом патч позже все же вышел, а сам процесс исправления сопровождался переносами сроков и расширением перечня затронутых компонентов. Исследователь, как утверждается, соблюдал эмбарго и даже удалил публикацию о проблеме до выхода исправления.

Для программ поиска уязвимостей такая коллизия чувствительна. Удаленное выполнение кода обычно относится к самым дорогим классам находок, потому что позволяет запускать произвольный код на чужой системе. Для сравнения, Google в отдельных программах платит за такие находки суммы на порядок выше, а Microsoft в своих bounty отдельно выделяет наиболее опасные цепочки атак. На этом фоне отказ AMD выглядит не как спор о размере премии, а как вопрос о границах собственной политики раскрытия и мотивации исследователей.

История важна и для рынка драйверов в целом. Каналы обновлений давно остаются привлекательной целью, потому что дают доступ сразу к большому числу устройств, а атаки на цепочку поставок софта за последние годы стали отдельным классом инцидентов. Если AMD не пересмотрит правила программы, компания рискует получать меньше ранних сообщений о сложных сценариях, которые формально не вписываются в bounty, хотя на практике требуют срочного патча.

Источник: Ixbt
А вот ещё материалы по теме:
Максим Третьяков
Технический обозреватель, пишет в основном про рынок мобильных телефонов и автомобильные технологии. Максим подготовил 740 материалов, в которых анализирует запуск флагманских линеек смартфонов (включая бренды Xiaomi и Apple), развитие нейросетевых функций в потребительских гаджетах и актуальное состояние отечественного автопрома. Его экспертиза охватывает как аппаратные новинки — от концептов видеокарт до умных колец, — так и правовые аспекты технологического рынка.

Leave a reply