AMD Nega Recompensa de US$10.000 por Vulnerabilidade Crítica

Pesquisador expõe falha em atualizador que levou 124 dias para ser corrigida, mas fica sem pagamento.

Recompensa Negada Pela AMD

A AMD recusou pagar uma recompensa de US$10.000 a um pesquisador de segurança, mesmo após ele ter descoberto e cooperado na correção de uma vulnerabilidade crítica em seu software de atualização automática.

Paul, o pesquisador, identificou uma potencial execução remota de código (RCE) via ataque man-in-the-middle (MITM).

Apesar de ser um bug de classe RCE, o programa de recompensas da AMD negou o pagamento, alegando que ataques MITM não estavam cobertos pela política. A pedido da AMD, Paul removeu a publicação do blog detalhando a situação, mas agora a história voltou à tona.

A Correção e o Descontentamento

  • A boa notícia é que o atualizador da AMD foi corrigido e as versões mais recentes do software estão seguras.
  • No entanto, Paul, o pesquisador, não recebeu qualquer compensação financeira por seus esforços.
  • Um bug de RCE como este normalmente valeria US$10.000, caso a AMD tivesse reconhecido plenamente a sua gravidade.

Cronologia da Descoberta e Demora na Correção

Em fevereiro, a AMD solicitou a Paul a remoção temporária de sua publicação. A empresa prometeu emitir um CVE padrão, corrigir o software e atribuir as descobertas a ele, mas sem qualquer pagamento de recompensa.

Paul concordou (decisão que agora lamenta), sugerindo um prazo de 90 dias para a correção e divulgação pública.

A AMD respondeu que “provavelmente precisaria de um embargo mais longo”, pois outras ferramentas além do Ryzen Master também estariam afetadas.

Isso levantou questões: por que uma correção que parecia ser de um único caractere (trocar “http” por “https”) levaria tanto tempo? E por que um problema tão premente não teve uma prioridade mais alta?

Extensão dos Prazos e Falta de Urgência

  • Paul concordou com um prazo de 100 dias, mas a AMD pediu mais tempo novamente, citando múltiplas ferramentas afetadas e pedidos de clientes.
  • A correção final foi disponibilizada em 9 de junho, 124 dias após a descoberta inicial da vulnerabilidade.

Ironia da Situação: Correção Incompleta e Bug Não Ativável

Para seu crédito, a AMD reestruturou o código de download no auto-atualizador, garantindo downloads mais seguros. No entanto, Paul observou que a validação do arquivo ainda usa o antigo hash CRC32, considerado criptograficamente inseguro.

A ironia final: de acordo com um usuário do Reddit, o bug descoberto por Paul sequer seria ativado, pois a seção de código relevante não era chamada. Isso significa que o próprio atualizador estava quebrado e não conseguia se atualizar, exigindo que os usuários fizessem um download manual.

Um verdadeiro “Quis renovatores renovat?” (Quem atualiza os atualizadores?).

Baseado no artigo de Tom’s Hardware