AMD отказала в выплате $10 000 за критическую уязвимость — исправление заняло 124 дня
Исследователь сообщил о проблеме в системе обновлений, но вознаграждение ему так и не выплатили
Вокруг компании AMD разгорелся скандал после того, как исследователь безопасности обнаружил критическую уязвимость в системе автоматического обновления драйверов.
По его данным, он обнаружил потенциальную уязвимость удаленного выполнения кода (RCE) посредством атаки типа «человек посередине» (Man In The Middle, MITM) в программном обеспечении AMD, однако компания отказалась выплачивать обещанное вознаграждение в размере $10 000. Man In The Middle — тип атаки, в которой злоумышленник находится между двумя устройствами в сети. Часто используется в псевдо-защищенных протоколах, использующих авторизацию или сквозное шифрование.
Исследователь подал отчёт через программу наград за обнаружение уязвимостей AMD и ожидал стандартного вознаграждения за уязвимость уровня RCE, однако компания отклонила заявку, сославшись на то, что подобные сценарии MITM не входят в её политику выплат. При этом AMD в конечном итоге выпустила исправление, но на устранение проблемы ушло 124 дня.
Позже выяснилось, что процесс исправления сопровождался многократными переносами сроков и расширением области затронутых компонентов. Исследователь согласился на эмбарго и временно удалил публикацию о баге, однако в итоге так и не получил компенсацию.

Комментарии