AMD исправила RCE-уязвимость за 124 дня и не заплатила $10 тыс.

AMD оказалась в споре с исследователем безопасности после исправления критической уязвимости в системе автообновления драйверов. Исследователь утверждает, что сообщил о сценарии удаленного выполнения кода через атаку «человек посередине», ждал стандартную выплату в $10 тыс., но получил отказ. На закрытие проблемы у компании ушло 124 дня. По описанию исследователя, проблема затрагивала механизм автоматической доставки и установки обновлений AMD. При определенных

условиях злоумышленник мог перехватить трафик между системой пользователя и инфраструктурой обновлений, а затем подменить содержимое. Такой класс атак относится к MITM, когда атакующий встраивается между двумя узлами связи и получает возможность читать или менять передаваемые данные. Отчет был подан через программу bug bounty, после чего AMD отклонила выплату. Основание, по словам исследователя, было формальным: компания не относит

MITM-сценарии к случаям, подпадающим под вознаграждение по своей политике. При этом патч позже все же вышел, а сам процесс исправления сопровождался переносами сроков и расширением перечня затронутых компонентов. Исследователь, как утверждается, соблюдал эмбарго и даже удалил публикацию

о проблеме до выхода исправления. Для программ поиска уязвимостей такая коллизия чувствительна. Удаленное выполнение кода обычно относится к самым дорогим классам находок, потому что позволяет запускать произвольный код на чужой системе. Для сравнения, Google в

отдельных программах платит за такие находки суммы на порядок выше, а Microsoft в своих bounty отдельно выделяет наиболее опасные цепочки атак. На этом фоне отказ AMD выглядит не как спор о размере премии, а как вопрос о границах собственной политики раскрытия и мотивации исследователей. История важна и для рынка драйверов в целом. Каналы обновлений давно остаются привлекательной целью, потому что дают доступ сразу к большому

числу устройств, а атаки на цепочку поставок софта за последние годы стали отдельным классом инцидентов. Если AMD не пересмотрит правила программы, компания рискует получать меньше ранних сообщений о сложных сценариях, которые формально не вписываются в bounty, хотя на практике требуют срочного патча.

Сообщает itzine.ru

 

Новость из рубрики: Технологии и Hi-Tech

 

Поделиться новостью:

 

Топ Новости Недели

• СПАС - гармония здоровья и эстетики улыбки...
• Доставка мебели из Китая...
• Отличный производитель сэндвич панелей - Компания МОСПАНЕЛИ...
• Летние шины 225/65 R17 - уверенность на каждом километре...
• Канализационные трубы ПВХ и фитинги...
• Ремонт промышленной электроники с компанией X Plata в Москве...
• Регистрация товарного знака в Казахстане с BROCS...
• Доставка экзотических фруктов из Таиланда с FRUITIQUE в Москве...
• Нетканый геотекстиль: невидимая основа долговечных решений...
• Aurus Residences - высота статуса в сердце Москва Сити...
• Качество Семяныча как ответ на неопределённость рынка...
• Искусство сияния: браслеты с драгоценными камнями...
• Погружение в мир Lineage 2: серверы, которые удивляют...
• Антигравийная пленка для авто в Минске...
• Переезд в другой город из Москвы без стресса и лишних забот...
• VIP Neva - комфортный трансфер и бизнес-такси в сердце Северной столицы...
• Инструмент - важнейший помощник...
• Доходность гостиничного бизнеса...
• Искусство цифрового роста - создание и продвижение сайтов с SEORA...
• Компрессоры ЗИФ от ОАО МЗ "Арсенал"...