AMD odbio istraživaču isplatu od 10.000 dolara nakon zakrpe kritične ranjivosti u automatskom ažuriranju

AMD je, prema navodima Tom's Hardwarea, odbio isplatiti nagradu od 10.000 dolara sigurnosnom istraživaču koji je prijavio kritičnu ranjivost u softveru za automatsko ažuriranje, iako je tvrtka kasnije zakrpala problem. Riječ je o propustu koji je istraživač opisao kao mogući put do udaljenog izvršavanja koda putem napada tipa man-in-the-middle, a cijela je priča sada ponovno dostupna nakon što je ranije bila povučena na zahtjev AMD-a.

Prema opisu koji je objavio istraživač Paul, prijava je poslana kroz AMD-ov program za bug bounty, uz očekivanje da će problem biti i ispravljen i nagrađen. AMD je, međutim, odbio isplatu uz obrazloženje da napadi tipa MITM nisu bili obuhvaćeni pravilima programa. U međuvremenu je Paul, na AMD-ov zahtjev, privremeno uklonio objavu koja je opisivala nalaz.

Kasniji razvoj događaja pokazuje da je AMD ipak radio na zakrpi. U veljači je tvrtka, prema Paulovom opisu, zatražila da objavu ukloni privremeno te je navela da će izdati standardni CVE, popraviti softver i pripisati nalaz njemu, dok je isplata nagrade ostala isključena. Paul je na to pristao, ali je tražio informaciju o vremenskom okviru i spominjao industrijski standardni rok od 90 dana prije ponovne javne objave.

AMD je zatim navodno poručio da će možda trebati dulji embargo jer su, uz Ryzen Master, pogođeni i dodatni alati te će im trebati nova izdanja. Paul je kasnije pristao i na 100-dnevni rok, no prije isteka tog roka ponovno je tražio pojašnjenje. Tvrtka je tada rekla da su pogođeni višestruki alati i da kupci traže dodatno vrijeme nakon što zakrpe budu dostupne. Na kraju je AMD, prema njegovu opisu, rekao da će popravak biti spreman 9. lipnja, što je 124 dana nakon početnog otkrića.

Paul navodi da je AMD preinačio i sam kod za preuzimanje u alatu za automatsko ažuriranje te da nova verzija doista preuzima upravljačke programe na sigurniji način. Ipak, ističe i da softver i dalje provjerava valjanost preuzete datoteke pomoću CRC32 hasha, koji se danas ne smatra kriptografski sigurnim. U priči se naknadno pojavljuje i dodatni sloj ironije: prema navodu jednog korisnika s Reddita, sporni je bug-bounty problem u međuvremenu dobio novu javnu pozornost.