A AMD recusou pagar uma recompensa de US$10.000 a um pesquisador de segurança, mesmo após ele ter descoberto e cooperado na correção de uma vulnerabilidade crítica em seu software de atualização automática.
Paul, o pesquisador, identificou uma potencial execução remota de código (RCE) via ataque man-in-the-middle (MITM).
Apesar de ser um bug de classe RCE, o programa de recompensas da AMD negou o pagamento, alegando que ataques MITM não estavam cobertos pela política. A pedido da AMD, Paul removeu a publicação do blog detalhando a situação, mas agora a história voltou à tona.
Em fevereiro, a AMD solicitou a Paul a remoção temporária de sua publicação. A empresa prometeu emitir um CVE padrão, corrigir o software e atribuir as descobertas a ele, mas sem qualquer pagamento de recompensa.
Paul concordou (decisão que agora lamenta), sugerindo um prazo de 90 dias para a correção e divulgação pública.
A AMD respondeu que “provavelmente precisaria de um embargo mais longo”, pois outras ferramentas além do Ryzen Master também estariam afetadas.
Isso levantou questões: por que uma correção que parecia ser de um único caractere (trocar “http” por “https”) levaria tanto tempo? E por que um problema tão premente não teve uma prioridade mais alta?
Para seu crédito, a AMD reestruturou o código de download no auto-atualizador, garantindo downloads mais seguros. No entanto, Paul observou que a validação do arquivo ainda usa o antigo hash CRC32, considerado criptograficamente inseguro.
A ironia final: de acordo com um usuário do Reddit, o bug descoberto por Paul sequer seria ativado, pois a seção de código relevante não era chamada. Isso significa que o próprio atualizador estava quebrado e não conseguia se atualizar, exigindo que os usuários fizessem um download manual.
Um verdadeiro “Quis renovatores renovat?” (Quem atualiza os atualizadores?).