Добавь сайт в закладки! Инструкция по ссылке.
Исследователь сообщил о проблеме в системе обновлений, но вознаграждение ему так и не выплатили
Вокруг компании AMD возник скандал после того, как специалист по безопасности выявил серьезную уязвимость в механизме автоматического обновления драйверов.
По его словам, он обнаружил потенциальную уязвимость удаленного выполнения кода (RCE) через атаку типа «человек посередине» (Man In The Middle, MITM) в программном обеспечении AMD, однако компания отказалась предоставить обещанное вознаграждение в размере $10 000. Man In The Middle — это тип атаки, при которой злоумышленник находится между двумя устройствами в сети. Он часто применяется в псевдозащищенных протоколах, использующих авторизацию или сквозное шифрование.
Исследователь отправил отчет через программу вознаграждений за обнаружение уязвимостей AMD и ожидал стандартного вознаграждения за уязвимость уровня RCE, однако компания отклонила его заявку, указав, что подобные сценарии MITM не подпадают под её политику выплат. При этом AMD в конечном итоге выпустила исправление, но на решение проблемы потребовалось 124 дня.
Позже стало известно, что процесс исправления сопровождался многочисленными переносами сроков и расширением области затронутых компонентов. Исследователь согласился на эмбарго и временно удалил публикацию о баге, однако в результате так и не получил компенсацию.
ИсточникПоделись видео: