⚡ Терміново
UkrPulse
UkrPulse
Кібербезпека

AMD змінила правила за винагороди та відмовила дослід

· 2 хв читання
AMD змінила правила за винагороди та відмовила дослід
Компанія AMD відмовилася винагородити дослідника з відкритого джерела за виявлення критичної вразливості в своєму програмному забезпеченні для автоматичного оновлення. Дослідник також повідомив про зміни в правилах програми виявлення вразливостей компанії, які тепер забороняють розкриття інформації про вразливості без попередньої згоди компанії.

AMD відмовила досліднику у винагороді за критичну вразливість та змінила правила програми

Компанія AMD нещодавно виправила критичну вразливість у своєму програмному забезпеченні для автоматичного оновлення. Проте дослідник безпеки, який виявив цю проблему, не отримав обіцяної винагороди у розмірі $10 000. Більше того, компанія згодом змінила правила програми виявлення вразливостей.

Як було виявлено вразливість

Дослідник безпеки, відомий під ніком MrBruh, зіткнувся з постійними сповіщеннями про оновлення на своєму новому ігровому ПК. Проаналізувавши програмне забезпечення AMD, він виявив серйозну проблему безпеки.

Хоча програма оновлення завантажувала список оновлень через захищений протокол HTTPS, самі виконувані файли завантажувалися через незахищений HTTP. Крім того, програма не перевіряла сертифікати та автентичність цифрових підписів перед запуском завантажених файлів.

Така вразливість дозволяє зловмисникам провести атаку типу "людина посередині" (MitM). Якщо зловмисник перебуває в одній мережі з цільовим пристроєм, він може перехопити з'єднання та замінити легітимне оновлення на шкідливий файл. Оскільки програма оновлення працює з підвищеними привілеями, це може призвести до віддаленого виконання коду на комп'ютері жертви.

Реакція AMD та зміна правил

MrBruh виявив вразливість 27 січня та повідомив про неї AMD 6 лютого в рамках програми винагород за виявлення вразливостей. Однак компанія відхилила звіт, мотивуючи це тим, що проблема стосується "додаткових інструментів" і виходить за межі програми.

Незважаючи на відмову у винагороді, вразливість пізніше отримала ідентифікатор CVE-2026-40677 та оцінку CVSS 7.7 (високий рівень небезпеки). Процес розгляду тривав 124 дні, а ембарго на публікацію інформації завершилося 9 червня.

Після того, як MrBruh оприлюднив інформацію про вразливість на платформі Hacker News, де вона набула широкого розголосу, AMD спочатку заявила, що проблема все ще розглядається. Згодом компанія попросила дослідника видалити пост, стверджуючи, що розкриття інформації порушує умови програми.

Як повідомляє Gamers Nexus, AMD змінила формулювання правил програми винагород. Тепер дослідники не мають права розголошувати інформацію про вразливості без письмової згоди компанії, навіть якщо винагорода не присуджується або проблема не входить до програми.

У офіційному бюлетені безпеки AMD визнала вразливість та вказала MrBruh як її першовідкривача. Проблему було усунуто в наступних версіях ПЗ:

  • AMD Ryzen Master 2.14.3
  • AMD µProf 5.3
  • AMD Management Console 14.0.0

Поточний стан безпеки

AMD стверджує, що тепер усі повідомлення про оновлення використовують HTTPS та проходять перевірку цифрового підпису. Однак MrBruh зазначає, що перевірив ці твердження та виявив лише перевірку контрольної суми CRC32, яка не є криптографічним підписом.

Дослідник також повідомив про окрему помилку перенаправлення, через яку програма оновлення може працювати некоректно. Він рекомендує користувачам повністю видалити програмне забезпечення AMD та завантажувати останні версії вручну з офіційного сайту компанії.

Джерело: itc.ua
#Критична вразливість #програма виявлення вразливостей #оновлення програмного забезпечення #виплата за виявлення вразливості #правила програми #атака типу "людина посередині" #захищений протокол HTTPS.

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також