AMD отказала исследователю в выплате $10 000 за найденную уязвимость, исправление которой заняло 124 дня

Компания AMD отказала исследователю безопасности в выплате вознаграждения в размере $10 000 (~800 000 руб.) за обнаружение критической уязвимости, несмотря на его сотрудничество. Пол, исследователь, обнаружил потенциальную возможность удаленного выполнения кода (RCE) через атаку «человек посередине» (MITM) в автообновляторе AMD. Он сообщил об уязвимости через программу bug bounty, но получил отказ, поскольку MITM-атаки не входили в условия программы. Тем не менее, по просьбе AMD Пол временно удалил свой блог-пост с описанием проблемы. Теперь пост снова доступен, и вся эта ситуация вызывает лишь недоумение.

Хорошая новость: уязвимость, похоже, исправлена. При загрузке последней версии пакета программного обеспечения AMD вы получите обновленную версию. Однако путь к этому был далеко не гладким, и Пол, судя по всему, так и не получил ни цента за свои усилия. Подобная история становится обычным делом, если вспомнить проблемы Microsoft с Nightmare-Eclipse. Уязвимость класса RCE обычно оценивается в $10 000, если бы AMD полностью признала серьезность проблемы.

В обновленном посте изложена полная история. Еще в феврале AMD попросила Пола временно удалить пост, пообещав выпустить стандартный CVE, исправить программное обеспечение и указать его в качестве автора находки, но выплата вознаграждения не обсуждалась. Пол согласился (решение, о котором он теперь сожалеет), но спросил о сроках, предложив стандартный 90-дневный период до публичного раскрытия информации.

AMD ответила, что «вероятно, потребуется более длительный период неразглашения, так как дополнительные инструменты, помимо Ryzen Master, также затронуты и требуют выпуска обновлений». Это заявление было интересным по нескольким причинам. Во-первых, возникает вопрос, почему AMD потребовалось так много времени, чтобы исправить, казалось бы, односимвольную ошибку — замену «http» на «https» в коде. Во-вторых, если проблема была настолько серьезной, что требовала столько времени на решение, то работа Пола, вероятно, заслуживала вознаграждения. В-третьих, как указал Пол, если проблема выглядела столь критичной, почему ей не был присвоен более высокий приоритет?

В итоге Пол согласился на 100-дневный период. Перед его истечением он связался с AMD, но получил просьбу о дополнительном времени, так как «несколько инструментов затронуты [ошибкой]» и «клиенты [AMD] запрашивают дополнительное время после того, как [исправления] становятся доступными». В конце концов, AMD сообщила, что исправление будет готово 9 июня, что составило 124 дня с момента первоначального обнаружения.

Надо отдать должное AMD: компания, похоже, полностью переработала код загрузки в автообновляторе. Пол подтвердил, что новая версия действительно загружает драйверы безопасно, хотя он отмечает, что программное обеспечение проверяет подлинность загруженного файла с помощью устаревшего хэша CRC32, который больше не считается криптографически безопасным.

И вот где проявляется ирония: по словам пользователя Reddit, ошибка, найденная Полом, в любом случае не могла быть использована, так как соответствующий раздел кода изначально не вызывался. Это означало, что обновлятор был сломан. Таким образом, AMD не могла обновить обновлятор, потому что код обновления не мог обновляться, что потребовало от пользователей свежей загрузки. Quis renovatores renovat, действительно.

Источник: Tomshardware.com