AMD отказалась выплатить исследователю вознаграждение в размере $10 000

AMD отказала исследователю безопасности в вознаграждении в размере $10 000 за обнаруженную уязвимость, несмотря на его сотрудничество с компанией. 

Исследователь обнаружил потенциальную уязвимость удалённого выполнения кода (RCE) через атаку типа «человек посередине» (MITM) в программном обеспечении автоматического обновления AMD. Он отправил отчёт на сайт программы вознаграждения за обнаружение уязвимостей AMD, ожидая как исправления, так и выплаты. Отчёт был отклонён, поскольку атаки MITM не подпадали под действие политики программы. Тем не менее, исследователь удалил сообщение в блоге, описывающее ситуацию, по просьбе AMD. Теперь оно снова появилось в сети.

Выяснилось, что в феврале, когда AMD попросила исследователя временно удалить сообщение в блоге, компания заявила, что выпустит стандартный CVE, исправит программное обеспечение и припишет ему авторство, хотя выплата вознаграждения была исключена. Тот согласился на эти условия, но спросил, каких сроков будет придерживаться AMD, предложив стандартный для отрасли 90-дневный период до повторной публикации публичного сообщения.

AMD ответила, что компании «вероятно, потребуется более длительный эмбарго, поскольку, похоже, затронуты и другие инструменты, помимо Ryzen Master, и нужны их обновления». Однако вопрос о том, почему AMD потребовалось так много времени, чтобы опубликовать, казалось бы, односимвольное исправление, заменяющее «http» на «https» в коде. Кроме того, если проблема была настолько серьёзной, то, возможно, работа исследователя заслуживала компенсации. Наконец, как отметил автор, если эта проблема выглядела настолько срочной, то неясно, почему ей не присвоили более высокий приоритет.

Тем не менее, в итоге исследователь согласился на 100-дневный срок ожидания.