Исследователь безопасности обнаружил опасную брешь в системе обновлений AMD, позволяющую перехватывать данные, но остался без обещанного вознаграждения в 10 000 долларов. Компания исправила ошибку, однако отказалась платить, аргументируя решение несоответствием сценария атаки внутренним правилам программы поиска уязвимостей, несмотря на признание проблемы и запрос на её немедленное устранение.
После уведомления об атаке типа «человек посередине» в утилите Ryzen Master, AMD попросила автора удалить описание проблемы, пообещав выпустить патч и присвоить уязвимости идентификатор CVE. Стороны договорились о стандартном 90-дневном сроке раскрытия, но процесс затянулся. Из-за необходимости проверять другие продукты компании релиз исправления переносили несколько раз, в итоге он состоялся лишь через 124 дня.Обновленная система загрузки теперь использует защищенные каналы связи, что блокирует вектор атаки. Тем не менее, эксперт выразил обеспокоенность тем, что AMD продолжает опираться на алгоритм CRC32 для проверки целостности файлов. Этот метод проверки считается устаревшим и не обеспечивает должного уровня криптографической защиты в современных реалиях.
Комментарии (0)
Пока нет комментариев. Будьте первым!