AMD отказала исследователю безопасности в выплате вознаграждения в размере 10 000 долларов, несмотря на проделанную им работу и сотрудничество с компанией. Постоянные посетители этого ресурса могут вспомнить статью, опубликованную некоторое время назад, о специалисте по безопасности, который обнаружил потенциальную возможность удаленного выполнения кода (RCE) через атаку типа «человек посередине» (MITM) в программном обеспечении автообновления AMD. Исследователь по имени Пол отправил отчет на веб-сайт программы Bug Bounty от AMD, ожидая как исправления, так и выплаты за ошибку класса RCE. Отчет был отклонен, поскольку атаки MITM не покрывались политикой программы. Тем не менее, по просьбе AMD Пол удалил пост в блоге, описывающий ситуацию. Теперь он снова в сети, и вся эта ситуация заслуживает как минимум трех хлопков по лбу. Во-первых, хорошая новость: обновление, по-видимому, теперь защищено, и если вы загрузите последнюю версию пакета программного обеспечения AMD, вы должны получить исправленную версию. Однако путь к этому моменту был далеко не гладким, и по сей день Пол, по всей видимости, так и не получил ни цента за свои усилия — история, которая становится обыденностью, если судить по проблемам Microsoft с Nightmare-Eclipse. Ошибка RCE в ином случае стоила бы 10 000 долларов, если бы AMD полностью признала значимость проблемы. В обновленном посте изложена вся история, и она такова: еще в феврале, когда AMD попросила Пола временно удалить пост в блоге, компания заявила, что выпустит стандартный CVE, исправит программное обеспечение и припишет находки ему, хотя выплата вознаграждения исключалась. Пол согласился (решение, о котором он теперь сожалеет), но спросил, какой график будет соблюдать AMD, предполагая стандартное для индустрии 90-дневное окно до повторной публикации им публичного раскрытия информации. AMD ответила, что им «вероятно, потребуется более длительное эмбарго, поскольку затронуты дополнительные инструменты, помимо Ryzen Master, и потребуются релизы». Это было интересное заявление по нескольким причинам: во-первых, оно поднимает вопрос о том, почему AMD потребуется так много времени для публикации того, что, по-видимому, было односимвольным исправлением — заменой «http» на «https» в коде. Во-вторых, если проблема была настолько серьезной, что требовала так много времени на решение, то, по мнению Пола, работа исследователя заслуживала бы некоторого вознаграждения. В-третьих, как отметил Пол, если эта проблема выглядела столь неотложной, почему у нее не было более высокого приоритета? Тем не менее, он в итоге согласился на 100-дневное окно и спросил AMD что-то вроде «как дела?» до того, как часы пробили последний удар, но ему снова попросили дополнительное время, сообщив, что «несколько инструментов затронуты [ошибкой]» и что «клиенты [AMD] запрашивают дополнительное время после того, как [исправления] будут предоставлены». В конце концов, AMD связалась с ним, заявив, что исправление будет готово 9 июня, что составило 124 дня с момента первоначального обнаружения. Следует отдать должное AMD: похоже, они полностью переработали код загрузки в автообновлении, и Пол подтвердил, что новая версия действительно загружает драйверы безопасно, хотя он отмечает, что программное обеспечение проверяет только корректность загруженного файла с помощью устаревшего хеша CRC32, который больше не считается криптографически стойким. Ирония заключается в следующем: по словам пользователя Reddit, ошибка, найденная Полом, по-видимому, все равно не могла быть вызвана, поскольку соответствующий участок кода изначально не вызывался, что означает, что обновление было сломано. Таким образом, AMD не могла обновить обновление, потому что код обновления не мог обновиться, что требовало новой загрузки от имени пользователей. Quis renovatores renovat, действительно.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
