据TomsHardware报道,一位化名Paul的安全研究人员近期公开了与AMD之间关于漏洞赏金的完整交涉经过。尽管他发现并协助修复了AMD软件自动更新工具中的一个远程代码执行漏洞,AMD最终仍拒绝支付1万美元(约合67876元人民币)的赏金。
Paul早在今年2月就提交了漏洞报告,指出AMD自动更新器软件存在中间人攻击场景下的远程代码执行风险。然而AMD方面认定,中间人攻击不在其漏洞赏金计划覆盖范围内,因此拒绝发放赏金。Paul随后应AMD要求暂时撤下了描述该情况的博客文章,如今这篇文章重新上线,完整披露了双方长达数月的沟通过程。AMD当时承诺将发布标准CVE编号、修复软件并将发现归功于他,但明确表示赏金支付不在考虑范围内。
Paul提议采用业内通行的90天披露窗口期,AMD回应称“可能需要更长的保密期,因为受影响的工具不限于Ryzen Master”。尽管从代码层面看,修复似乎只是将“http”替换为“https”的单字符改动,AMD却要求延长窗口期,理由是“多个工具受影响”及客户需求。最终修复在6月9日准备就绪,距Paul最初提交报告已过去124天。
值得肯定的是,AMD对自动更新器中的下载代码进行了彻底重构,Paul验证新版本能安全下载驱动程序。但他同时指出,该软件仅使用已不被视作加密安全的CRC32哈希算法来校验文件完整性。截至目前,Paul仍未收到任何报酬。
原创文章,作者:net,如若转载,请注明出处:https://www.kejixun.co/article/754956.html
