IT之家 6 月 12 日消息，據(jù) TomsHardware 今日報道，一位安全研究人員近期公開了其與 AMD 之間關(guān)于漏洞賞金的完整交涉經(jīng)過。

盡管該研究員發(fā)現(xiàn)并協(xié)助修復(fù)了 AMD 軟件自動更新工具中的一個遠程代碼執(zhí)行漏洞，AMD 最終仍拒絕支付 1 萬美元（IT之家注：現(xiàn)匯率約合 67876 元人民幣）的賞金。

這位化名 Paul 的研究員早在今年 2 月就提交了漏洞報告，指出 AMD 自動更新器軟件存在中間人攻擊場景下的遠程代碼執(zhí)行風險。但 AMD 方面認定，中間人攻擊不在其漏洞賞金計劃覆蓋范圍內(nèi)，因此拒絕發(fā)放賞金。Paul 隨后應(yīng) AMD 要求暫時撤下了描述該情況的博客文章。如今這篇文章重新上線，完整披露了雙方長達數(shù)月的溝通過程。

好消息是，相關(guān)更新工具目前已完成修復(fù)，但整個過程遠稱不上順利，且 Paul 至今未收到任何報酬。如果 AMD 當初完全認可該問題的嚴重程度，這一 RCE 漏洞本應(yīng)價值 1 萬美元。

今年 2 月，AMD 要求 Paul 暫時撤下博文時曾承諾，將發(fā)布標準 CVE 編號、修復(fù)軟件并將發(fā)現(xiàn)歸功于他，但明確表示賞金支付不在考慮范圍內(nèi)。Paul 對此表示同意，不過他事后反悔。

當時他詢問 AMD 將采用什么樣的時間表，并提議采用業(yè)內(nèi)通行的 90 天披露窗口期。AMD 回應(yīng)稱“可能需要更長的保密期，因為受影響的工具不限于 Ryzen Master，還需發(fā)布其他工具的修復(fù)版本”。

這一說法引出多重疑問：其一，從代碼層面看，這似乎只是將“http”替換為“https”的單字符改動，為何需要如此漫長的周期；其二，如果問題嚴重到需要如此長時間解決，那 Paul 的工作理應(yīng)獲得相應(yīng)回報；其三，如果局勢如此緊迫，為何 AMD 沒有給予更高優(yōu)先級處理。

盡管存在疑慮，Paul 最終還是同意將窗口期延長至 100 天。在截止日期臨近時他向 AMD 詢問進展，卻被再次要求延期。AMD 給出的理由是“多個工具受該漏洞影響”，以及“客戶要求在修復(fù)方案就緒后再給予額外時間”。最終 AMD 通知稱修復(fù)將在 6 月 9 日準備就緒，距離 Paul 最初提交報告已過去 124 天。

值得肯定的是，AMD 對自動更新器中的下載代碼進行了徹底重構(gòu)，Paul 也驗證了新版本確實能安全下載驅(qū)動程序。不過他同時指出，該軟件僅使用已不被視作加密安全的 CRC32 哈希算法來校驗下載文件的完整性。

相關(guān)閱讀：

• 《已修復(fù)：AMD 霄龍?zhí)幚砥?Fabricked 漏洞披露，100% 成功、可繞過 SEV-SNP》

• 《AMD Zen 1~5 全系 CPU 曝出 StackWarp 漏洞，臨時方案導(dǎo)致可用核心數(shù)減半》

• 《谷歌安全團隊發(fā)現(xiàn)高通 Adreno GPU 驅(qū)動超 9 個重要漏洞，OEM 已獲補丁推送》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。