Логотип AMD с надписью together we advance на технологическом фоне
Автор:

AMD закрыла уязвимость в механизме обновления своего ПО через 124 дня после сообщения исследователя и отказалась платить ему вознаграждение в $10 тыс. Речь шла об атаке класса «человек посередине», которая позволяла подменить загружаемый файл и довести сценарий до удалённого выполнения кода. Исследователь по имени Пол сообщил о проблеме ещё в феврале, а обновление вышло 9 июня.

По описанию Пола, проблема находилась в системе автообновления AMD. Компания попросила его скрыть публикацию в блоге, пообещала зарегистрировать CVE, подготовить патч и указать авторство, но сразу предупредила, что выплата не предусмотрена. Основание было формальным: атаки типа MITM не входят в правила программы bug bounty AMD, даже если в конкретном случае они открывали путь к исполнению кода.

После установки исправления исследователь подтвердил, что загрузка теперь идёт по защищённой схеме. При этом он обратил внимание на ещё одну деталь: целостность файла проверяется через CRC32, а этот алгоритм давно не рассматривают как криптографическую защиту. Для систем обновления это чувствительная зона. Через такие механизмы в прошлые годы проходили более крупные инциденты, включая атаку ShadowHammer на ASUS Live Update в 2019 году и компрометацию CCleaner в 2017-м.

Уязвимость в системе автообновления AMD

Срок раскрытия уязвимости обсуждался отдельно. Пол предложил стандартные 90 дней, AMD ответила, что ей может понадобиться больше времени, потому что затронуты не только Ryzen Master, но и другие инструменты. В итоге стороны сошлись на 100 днях, однако и этот срок компания не выдержала.

Когда исследователь запросил статус после истечения оговорённого периода, AMD попросила дополнительное время. Компания объяснила задержку тем, что ошибка затрагивает несколько продуктов, а часть клиентов просила перенести раскрытие до выхода обновлений. Патч вышел лишь на 124-й день после первоначального отчёта.

Спорным оказался и сам масштаб проблемы. По словам Пола, исправление в коде выглядело минимальным и сводилось фактически к замене «http» на «https». Это и стало одним из поводов для его вопросов к AMD: почему простой на вид дефект исправляли четыре месяца, почему ему отказали в выплате и почему инцидент не получил более высокий приоритет внутри компании.

Поверхность металлическая с гравировкой AMD и логотипом устройств

Дополнительный поворот истории появился уже после публикации. Один из пользователей Reddit заявил, что соответствующий фрагмент кода изначально не вызывался, поэтому практическая эксплуатация могла оказаться невозможной. Если это верно, то AMD столкнулась с редкой для таких историй ситуацией: уязвимость в модуле обновления существовала, а сам модуль не мог обновить себя автоматически, и пользователю требовалась ручная установка пакета.

На рынке программ по поиску уязвимостей такой подход выглядит жёстким. Крупные вендоры обычно платят за баги в цепочке обновлений заметно больше: у Microsoft верхние планки по отдельным классам уязвимостей доходят до десятков тысяч долларов, а Google в ряде программ заявляет выплаты свыше $30 тыс. Для AMD эта история бьёт не столько по бюджету, сколько по репутации программы disclosure. Следующий ответ исследователей станет виден уже по тому, как быстро компания будет получать новые отчёты и насколько охотно авторы согласятся на закрытое эмбарго.

Источник: 3dnews
А вот ещё материалы по теме:
Марта Баринова
Редактор новостного отдела, специализирующийся на аналитике программного обеспечения, стриминговых сервисов и изменениях в политике глобальных технологических платформ. В своих материалах Марта подробно освещает обновления Windows, функциональные изменения в Spotify и Google, а также исследует вопросы антимонопольного регулирования магазинов приложений. Автор более 140 публикаций, помогающих пользователям ориентироваться в быстро меняющемся ландшафте цифровых сервисов.

    Leave a reply