據tomshardware報導,安全研究人員保羅近日詳細揭露了他與amd就一項高危漏洞所發生的賞金糾紛全過程。今年二月,他報告了一個嚴重缺陷:amd的自動更新工具在中間人攻擊情境下存在遠端程式碼執行(rce)漏洞。儘管該漏洞已被確認並修復,amd卻以「中間人攻擊不在漏洞獎勵計畫範圍內」為由,拒絕支付1萬美元的獎勵(約合人民幣67,876元)。
起初,保羅遵從amd的要求,暫時下架了技術分析的部落格文章,並計劃待廠商完成修復後再重新發布完整內容,從而完整重現自二月以來雙方長達數月的溝通歷程。雖然amd承諾將分配cve編號、釋出修補程式並公開致謝,卻始終排除任何金錢獎勵。針對保羅提出的業界標準90天揭露期,amd則主張延長保密期限,聲稱此問題影響多款工具——不僅限於ryzen master——且涉及客戶特定需求;然而,從實際操作來看,核心修復僅需將http升級為https,作為基本的安全增強措施而已。
最終修補程式於六月九日部署,距離首次報告已逾四個月(124天)。值得注意的是,amd徹底重構了下載模組,保羅也驗證新版本能夠安全地取得驅動程式;然而,他也指出,目前版本仍採用已過時的crc32演算法進行檔案完整性檢查,缺乏現代密碼學雜湊函數的保護。截至發稿時,保羅仍未收到任何補償。
