AMD 拒付 1 万美元漏洞赏金,安全专家历时 124 天提供协助未获分文
IT之家 6 月 12 日消息,据 TomsHardware 今日报道,一位安全研究人员近期公开了其与 AMD 之间关于漏洞赏金的完整交涉经过。
尽管该研究员发现并协助修复了 AMD 软件自动更新工具中的一个远程代码执行漏洞,AMD 最终仍拒绝支付 1 万美元(IT之家注:现汇率约合 67876 元人民币)的赏金。
这位化名 Paul 的研究员早在今年 2 月就提交了漏洞报告,指出 AMD 自动更新器软件存在中间人攻击场景下的远程代码执行风险。但 AMD 方面认定,中间人攻击不在其漏洞赏金计划覆盖范围内,因此拒绝发放赏金。Paul 随后应 AMD 要求暂时撤下了描述该情况的博客文章。如今这篇文章重新上线,完整披露了双方长达数月的沟通过程。
好消息是,相关更新工具目前已完成修复,但整个过程远称不上顺利,且 Paul 至今未收到任何报酬。如果 AMD 当初完全认可该问题的严重程度,这一 RCE 漏洞本应价值 1 万美元。
今年 2 月,AMD 要求 Paul 暂时撤下博文时曾承诺,将发布标准 CVE 编号、修复软件并将发现归功于他,但明确表示赏金支付不在考虑范围内。Paul 对此表示同意,不过他事后反悔。
当时他询问 AMD 将采用什么样的时间表,并提议采用业内通行的 90 天披露窗口期。AMD 回应称“可能需要更长的保密期,因为受影响的工具不限于 Ryzen Master,还需发布其他工具的修复版本”。
这一说法引出多重疑问:其一,从代码层面看,这似乎只是将“http”替换为“https”的单字符改动,为何需要如此漫长的周期;其二,如果问题严重到需要如此长时间解决,那 Paul 的工作理应获得相应回报;其三,如果局势如此紧迫,为何 AMD 没有给予更高优先级处理。
尽管存在疑虑,Paul 最终还是同意将窗口期延长至 100 天。在截止日期临近时他向 AMD 询问进展,却被再次要求延期。AMD 给出的理由是“多个工具受该漏洞影响”,以及“客户要求在修复方案就绪后再给予额外时间”。最终 AMD 通知称修复将在 6 月 9 日准备就绪,距离 Paul 最初提交报告已过去 124 天。
值得肯定的是,AMD 对自动更新器中的下载代码进行了彻底重构,Paul 也验证了新版本确实能安全下载驱动程序。不过他同时指出,该软件仅使用已不被视作加密安全的 CRC32 哈希算法来校验下载文件的完整性。
相关阅读:
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
