Компанія AMD відмовилася виплатити досліднику з безпеки винагороду в розмірі $10 000 за знайдену помилку, попри його зусилля та співпрацю з компанією.
Компанія AMD відмовилася виплатити досліднику з безпеки винагороду в розмірі $10 000 за знайдену помилку, попри його зусилля та співпрацю з компанією.
Дослідник із безпеки знайшов у софті для автооновлення AMD небезпечну діру. Вона дозволяла віддалено запускати сторонній код (RCE) через атаку «людина посередині» (MITM), пише Tom’s Hardware’s.
Дослідник на ім’я Пол надіслав звіт через сайт програми bug bounty від AMD, розраховуючи як на виправлення проблеми, так і на виплату винагороди за баг класу RCE. Проте звіт відхилили, оскільки атаки типу MITM не підпадали під правила програми. Попри це, Пол на прохання AMD видалив свій допис у блозі, де описував цю ситуацію.
Тепер цей допис знову з’явився, і вся ця історія викликає чимало запитань до дій компанії.
Спочатку про хороше: утиліту оновлення, схоже, нарешті убезпечили, і якщо завантажити останню версію пакета програмного забезпечення від AMD, то отримаєте вже виправлену версію. Проте шлях до цього результату був далеко не простим, і донині Пол, судячи з усього, не отримав ні гроша за свої зусилля.
Оновлений допис містить повну історію, яка розгорталася так: ще у лютому, коли AMD попросила Пола тимчасово видалити статтю з блогу, компанія пообіцяла зареєструвати стандартний ідентифікатор вразливості (CVE), виправити програмне забезпечення та вказати його як автора знахідки, хоча про виплату винагороди не могло бути й мови. Пол погодився (про що зараз шкодує), але поцікавився термінами, які планує дотримуватися AMD, і запропонував стандартне для індустрії 90-денне вікно, після чого він знову зможе оприлюднити інформацію.
У відповідь AMD зазначила, що їй, «найімовірніше, знадобиться триваліше ембарго, оскільки проблема, схоже, зачепила й інші інструменти, крім Ryzen Master, і для них теж знадобляться оновлення». Ця заява була цікавою з кількох причин: по-перше, виникає питання, чому саме AMD знадобилося стільки часу, щоб впровадити виправлення, яке, судячи з усього, полягало в заміні лише одного символу в коді — «http» на «https». По-друге, якщо проблема була настільки серйозною, що вимагала так багато часу для вирішення, то, очевидно, робота Пола заслуговувала на певну винагороду. По-третє, як зауважив сам Пол, якщо ця проблема здавалася такою нагальною, чому їй не надали вищого пріоритету?
Попри це, зрештою він погодився на 100-денне вікно й поцікавився в AMD станом справ безпосередньо перед закінченням цього терміну. Однак у відповідь його знову попросили про додатковий час, пояснивши, що «баг зачепив кілька інструментів», а «клієнти [AMD] вимагають більше часу після того, як виправлення стануть доступними». Зрештою AMD вийшла на зв’язок і повідомила, що патч буде готовий 9 червня — тобто загалом через 124 дні після первинного виявлення вразливості.
Слід віддати належне, AMD, схоже, повністю переробила код завантаження в автоапдейтері, і Пол підтвердив, що нова версія дійсно завантажує драйвери безпечно. Проте він зауважив, що програмне забезпечення перевіряє валідність завантаженого файлу лише за допомогою застарілого хешу CRC32, який сьогодні вже не вважається криптографічно безпечним.
Проте саме тут починається справжня іронія: за словами одного з користувачів Reddit, баг, який знайшов Пол, судячи з усього, все одно б не спрацював, оскільки відповідний розділ коду взагалі не викликався. Це означає, що автоапдейтер від самого початку був зламаний. Вийшло замкнене коло: AMD не могла оновити оновлювач, бо функція оновлення не працювала, що змусило користувачів завантажувати все заново вручну.
