← Назад к блогу
AMD отказалась выплатить исследователю вознаграждение за уязвимость RCE через MITM

AMD отказалась выплатить исследователю вознаграждение за уязвимость RCE через MITM

Исследователь безопасности, который обнаружил уязвимость в программном обеспечении AMD, сообщил, что компания отказала ему в выплате $10 000, предусмотренных программой баг-баунти. Уязвимость, обнаруженная в продуктах AMD, позволяет злоумышленнику запустить произвольный код на целевом устройстве через атаку MITM (Man-in-the-Middle). Это серьезная угроза для пользователей, особенно в средах, где требуется высокий уровень безопасности.

Уязвимость была обнаружена в процессе анализа протоколов обновления программного обеспечения AMD. Исследователь предоставил подробный отчет, включая воспроизводимые шаги и технические детали, но AMD не согласилась с оценкой серьезности уязвимости и отказалась выплатить вознаграждение. Это вызвало широкий резонанс в сообществе разработчиков и специалистов по безопасности, которые отметили, что отказ в выплате может подорвать доверие к программам баг-баунти.

Детали уязвимости показывают, что атака MITM может быть использована для перехвата и модификации данных, передаваемых между клиентом и сервером. Уязвимость связана с неправильной проверкой целостности данных, что позволяет злоумышленнику вставить вредоносный код в поток данных. Это особенно критично для систем, где используются протоколы без шифрования или с недостаточным уровнем проверки подлинности.

AMD заявила, что уязвимость была исправлена в последних обновлениях программного обеспечения, но не предоставила официального подтверждения. В ответ на критику, исследователь отметил, что его отчет был предоставлен в рамках программы баг-баунти, и отказ в выплате может быть воспринят как несоответствие стандартам отрасли.

В дополнение к этой уязвимости, исследователь также сообщил о других уязвимостях в продуктах AMD, которые были обнаружены в рамках проекта Nightmare Eclipse. Эти уязвимости также могут быть использованы для атаки на системы, но их влияние оценивается как менее критичное. Microsoft, которая также была затронута проектом Nightmare Eclipse, заявила, что все уязвимости были исправлены, и выплатила исследователю соответствующее вознаграждение.

Эта ситуация подчеркивает важность прозрачности и соблюдения стандартов в программе баг-баунти. Специалисты по безопасности рекомендуют компаниям внимательно оценивать все отчеты и обеспечивать справедливую компенсацию за обнаруженные уязвимости, чтобы поддерживать доверие к таким программам.