AMD nega ricompensa di $10.000 dopo 124 giorni per correzione di una falla di sicurezza!

di
AMD changes rules, denies researcher $10,000 bounty after taking 124 days to patch security flaw

Il ricercatore afferma che AMD ha ignorato il suo rapporto, poi gli ha chiesto di tacere

Ma che succede?! AMD ha corretto una vulnerabilità di esecuzione di codice remoto nel suo software di aggiornamento automatico, ma la storia non finisce qui. La compagnia sta ricevendo numerose critiche per il modo in cui ha gestito il ricercatore che ha segnalato il problema. Inizialmente, Team Red ha scartato il bug come “non pertinente”, poi ha chiesto al ricercatore di rimanere in silenzio, per poi modificare le regole a posteriori rendendo questo silenzio un obbligo.

La vulnerabilità è stata scoperta dal ricercatore di sicurezza MrBruh dopo che una finestra di console dell’aggiornatore AMD continuava a comparire sul suo nuovo PC da gioco.

Decompilando il software, si è scoperto che, sebbene l’aggiornatore di AMD ricevesse la lista degli aggiornamenti tramite HTTPS, i link per il download degli eseguibili erano in HTTP semplice. Ancora peggio, sembra che l’aggiornatore non eseguisse alcuna validazione dei certificati o vera e propria verifica delle firme prima di eseguire il file scaricato.

Tale vulnerabilità potrebbe permettere un attacco man-in-the-middle. Qualcuno sulla stessa rete, o in grado di interferire con la connessione a monte, potrebbe potenzialmente sostituire il file di aggiornamento di AMD con un eseguibile malevolo. Poiché l’aggiornatore opera con privilegi elevati, il risultato potrebbe essere l’esecuzione di codice remoto.

Dopo aver scoperto il problema il 27 gennaio, MrBruh ha segnalato la questione ad AMD il 6 febbraio attraverso il suo programma di bug bounty. La risposta dell’azienda è stata di chiudere la segnalazione perché considerata “non pertinente”, in quanto coinvolgeva un attacco man-in-the-middle e strumenti opzionali. Di conseguenza, non è stato riconosciuto alcun premio, nonostante il bug sia stato successivamente identificato con CVE-2026-40677 e un punteggio CVSS 4.0 di 7.7. L’intero processo è durato 124 giorni, con l’embargo terminato il 9 giugno.

LEGGI  Papa Leone XIV: Allarme sui rischi dell'IA, "Proteggiamo la dignità umana!"

Dopo che MrBruh ha pubblicato i suoi risultati e il post ha guadagnato visibilità su Hacker News, il team interno PSIRT di AMD si è fatto vivo nuovamente dicendo che la questione era ancora in fase di revisione. L’azienda poi ha chiesto a lui di rimuovere il post mentre lavorava a una soluzione, sostenendo che la divulgazione non sembrava conformarsi ai termini del programma.

Secondo Gamers Nexus, AMD ha successivamente modificato il testo delle sue regole del bug bounty per affermare che i ricercatori non devono divulgare informazioni sulla vulnerabilità senza il consenso scritto di AMD, anche se un rapporto è considerato non idoneo per un premio o fuori tema. Sembra che AMD abbia accusato MrBruh di aver infranto una regola introdotta solo dopo la sua violazione.

Il bollettino ufficiale di AMD ora riconosce la vulnerabilità e attribuisce il merito a MrBruh. Elenca AMD Ryzen Master 2.14.3, AMD µProf 5.3, e AMD Management Console 14.0.0 come versioni mitigate. Tuttavia, la patch solleva ancora domande.

AMD ha comunicato a MrBruh che ora tutte le comunicazioni di aggiornamento utilizzano HTTPS e che gli aggiornamenti subiscono una verifica delle firme. Il ricercatore afferma di aver verificato la questione dell’HTTPS, ma ha trovato solo un controllo CRC32 sull’eseguibile scaricato, che non è considerato una firma crittografica.

MrBruh dice inoltre che un bug di reindirizzamento separato significa che l’aggiornatore potrebbe non essere in grado di aggiornarsi correttamente. Consiglia agli utenti di disinstallare completamente il software di AMD e di scaricare manualmente le ultime versioni dal sito web dell’azienda.

Messaggi simili:

LEGGI  Apple raggiunge ricavi di $95,4 miliardi nonostante le sfide della catena di approvvigionamento!