AMD отказалась выплатить исследователю в области кибербезопасности вознаграждение в размере $10 000, хотя он оказал компании помощь и сотрудничал с ней. Начало инцидента пришлось на февраль — эксперт обнаружил в системе обновления ПО AMD уязвимость, позволявшую осуществлять атаку класса «человек посередине» и запускать удалённое выполнение кода.
Обнаруживший проблему исследователь по имени Пол отправил отчёт на сайт AMD в рамках программы обнаружения ошибок и подал заявку на выплату вознаграждения. В выплате денег ему было отказано, потому что атаки типа «человек посередине» не подпадают под действие политики. Тем не менее, Пол по просьбе AMD удалил соответствующую публикацию в своём блоге, а сейчас открыл её снова, и история оказалась оригинальной.
К настоящему моменту AMD исправила уязвимость, и актуальная версия её программного пакета защищена от данной атаки. Но путь к этому был непростым и небыстрым. Когда Пол обнаружил ошибку, компания попросила его закрыть публикацию в блоге, пообещала зарегистрировать CVE-номер уязвимости, исправить своё ПО и указать авторство исследователя, но сразу заявила, что денег не будет. Пол согласился, но уточнил, в какой срок компания намерена решить проблему, предложив стандартный — в 90 дней. AMD ответила, что ей «вероятно, потребуется более длительный эмбарго, потому что, видимо, затронуты и другие инструменты, помимо Ryzen Master, и потребуются дополнительные обновления».
Это вызвало сразу три вопроса. Во-первых, в коде, казалось, было достаточно исправить всего один символ — заменить «http» на «https». Во-вторых, если на решение проблемы требуется так много времени, то почему ему всё-таки не согласились заплатить? В-третьих, если проблема настолько важная, то почему AMD не присвоила ей более высокий приоритет?
В итоге, когда истёк оговорённый 100-дневный срок, и Пол поинтересовался, как продвигается решение проблемы, в компании попросили дополнительное время, потому что «ошибка затрагивает несколько инструментов», и «клиенты AMD запросили продление срока после того, как выйдут обновления». Обновление, сообщили в AMD, в итоге вышло 9 июня, то есть через 124 дня после обнаружения уязвимости. Компания действительно переработала код загрузки в автоообновлении, и Пол подтвердил, что теперь драйверы загружаются в безопасном режиме. Правда, отметил он, действительность загруженного файла проверяется с помощью устаревшего алгоритма хеширования CRC32, который уже не считается криптографически безопасным.
И, пожалуй, самое забавное в этой истории рассказал один из пользователей платформы Reddit. По его сведениям, эксплуатировать обнаруженную Полом уязвимость не получилось бы, потому что соответствующий фрагмент изначально не вызывался. Другими словами, AMD не могла обновить систему обновлений, потому что код обновления не мог обновиться, и пользователям требовалось устанавливать ПО вручную.