AMD отказала $10 000 награде за уязвимость авто‑обновления
Исследователь Пол ЛаРоза нашёл критическую уязвимость в Windows‑автообновлятеле AMD, но компания отказалась выплатить обещанные $10 000 и исправила проблему только через 124 дня.
AMD отказала исследователю Полу ЛаРозе в выплате $10 000 за найденную уязвимость в авто‑обновлятеле Windows‑утилит, несмотря на то, что компания исправила проблему только спустя 124 дня.
Что именно обнаружил исследователь?
Пол ЛаРоза выявил, что авто‑обновлятель AMD (используемый в Ryzen Master и других утилитах) скачивает обновления по нешифрованному HTTP. Любой, кто находится в той же сети, может выполнить атаку типа «человек посередине», подменив легитимный драйвер на вредоносный. При установке система принимает подменённый файл, полагая, что он пришёл от AMD, что открывает путь к удалённому выполнению кода.
Как AMD отреагировала?
Компания признала наличие уязвимости, но сослалась на внутреннюю политику, исключающую выплаты за атаки типа MITM. В феврале ей было предложено отложить публичное раскрытие, а AMD пообещала выпустить патч в течение 90 дней – стандартный срок для большинства программных вендоров. На практике исправление появилось только через 124 дня, почти в четыре раза дольше рекомендованного периода в 5‑14 дней.
Что включало исправление?
AMD заменил протокол загрузки на HTTPS, тем самым устранив возможность простого подслушивания трафика. Однако проверка целостности файлов осталась на уровне CRC32 – простого контрольного кода, легко подделываемого. Современные решения обычно используют криптографическую подпись, которую невозможно подделать без доступа к закрытому ключу.
Почему это важно для пользователей?
Если вы пользуетесь любой утилитой AMD, которая автоматически обновляется, ваш компьютер мог стать мишенью в течение четырёх месяцев. Даже после патча остаётся риск, что злоумышленник, получивший доступ к сети, заменит файл, используя поддельный CRC‑контроль. В итоге система может выполнить произвольный код без вашего ведома.
Какой вывод делают эксперты?
Случай показывает, что крупные вендоры иногда предпочитают экономить на программах вознаграждения, чем полностью устранять уязвимости. Политика, исключающая выплаты за MITM‑атаки, выглядит как лазейка, позволяющая избежать финансовых обязательств, но оставляющая пользователей без надёжной защиты.
Что это значит для бизнеса?
Для владельцев сайтов и сервисов, использующих AMD‑утилиты, это сигнал к проверке цепочки обновлений. Необходимо убедиться, что все сторонние компоненты скачивают обновления только по HTTPS и используют подписи, а не простые контрольные суммы. Иначе рискуете получить компрометированный сервер, что может привести к простоям и утрате данных.