Компания AMD оказалась в центре неприятной ситуации: независимый исследователь обнаружил опасную уязвимость в механизме автоматического обновления драйверов, но остался без обещанной компенсации.
Специалист выявил сценарий для удаленного выполнения кода (RCE), реализуемый через атаку типа «человек посередине» (Man-in-the-Middle, MITM). Суть этой угрозы заключается в перехвате трафика между устройствами, что позволяет злоумышленникам обходить механизмы защиты и шифрования. Несмотря на серьезность находки, производитель отказался выплачивать заявленные $10 000, аргументируя это тем, что подобные векторные атаки не попадают под условия их программы премирования.
Хотя AMD оперативно устранила проблему, процесс занял 124 дня, а само исправление было выпущено с существенными задержками и постоянным расширением списка затрагиваемых компонентов. Изначально исследователь добросовестно соблюдал условия эмбарго и ограничил доступ к информации об ошибке, однако после отказа компании в выплате вознаграждения ситуация приобрела конфликтный характер.
Источник: iXBT
