🇨🇳cnBeta (Full RSS)•較早收集於 14h
AMD 被指拖延修補漏洞並拒付漏洞獎金

💡了解與硬體供應商漏洞獎勵計畫合作的風險,以保障您的研究成果。
⚡ 30-Second TL;DR
有什麼變化
AMD 被指控花費 124 天才處理回報的安全漏洞。
為什麼重要
此爭議可能損害 AMD 在白帽駭客社群中的聲譽,進而影響未來的負責任漏洞披露。這凸顯了硬體供應商建立清晰且不可變更的安全披露政策之重要性。
下一步行動
若您是安全研究員,在向硬體供應商提交重大漏洞前,請務必以書面形式記錄漏洞獎勵計畫的條款。
誰應關注:Researchers & Academics
關鍵要點
- •AMD 被指控花費 124 天才處理回報的安全漏洞。
- •據稱該公司追溯修改了漏洞獎勵計畫的條款。
- •研究員在政策變更後被拒付 1 萬美元獎金。
- •此事件引發網路安全社群對企業透明度的批評。
🧠 深度解析
Web-grounded analysis with 14 cited sources.
🔑 增強重點摘要
- •該漏洞是由安全研究員 MrBruh(又名 Paul)發現的,涉及 AMD 自動更新軟體中的遠端程式碼執行 (RCE) 缺陷,可透過中間人 (MITM) 攻擊利用。
- •AMD 最初以 MITM 攻擊不在其漏洞獎勵計畫範圍內為由,駁回了該報告。
- •該漏洞後來被分配了 CVE-2026-40677,並獲得了 CVSS 4.0 評分 7.7。
- •在研究員公開披露其發現並引起關注後,AMD 要求其撤下貼文,並追溯性地修改了其漏洞獎勵條款,要求即使對於不符合獎勵資格或超出範圍的報告,也必須遵守不披露規定。
- •儘管 AMD 重新設計了自動更新程式的下載程式碼以修復漏洞,但新版本仍使用 CRC32 進行檔案驗證,這在加密上被認為不安全。
📊 競品分析▸ Show
| 公司 | 漏洞獎勵計畫狀態 | 獎勵範圍 | 報告提交平台 | 披露政策 | 初次回應時間目標 (競爭性) |
|---|---|---|---|---|---|
| AMD | 公開漏洞獎勵計畫 | 據稱拒付 1 萬美元獎金 | Intigriti | 協調漏洞披露 (CVD),但追溯修改條款要求不披露 | 124 天修補漏洞,回應時間引發爭議 |
| Intel | 公開漏洞獎勵計畫 (自 2018 年起) | 500 美元至 10 萬美元 | Intigriti | 協調漏洞披露 (CVD) | 關鍵漏洞 24 小時,高嚴重性 48 小時,中等 5 天,低嚴重性 10 天 |
| NVIDIA | 漏洞披露計畫 (VDP),目前為封閉式漏洞獎勵計畫 | 提供具名致謝,無明確獎金範圍 | Intigriti 或直接透過電子郵件 | 協調漏洞披露 (CVD) | 致力於迅速專業回應 |
🛠️ 技術深入
- 該漏洞存在於 AMD 的自動更新軟體中。
- 自動更新程式透過 HTTPS 獲取更新列表,但可執行檔的下載連結卻使用純 HTTP。
- 在執行下載的檔案之前,更新程式未執行憑證驗證或實際的簽章檢查。
- 這使得攻擊者可以透過中間人 (MITM) 攻擊,將 AMD 的更新檔案替換為惡意可執行檔。
- 由於更新程式以提升的權限執行,這可能導致遠端程式碼執行 (RCE)。
- 儘管 AMD 重新設計了下載程式碼,但新版本仍使用 CRC32 雜湊進行檔案驗證,這在加密上已不被視為安全。
🔮 前景展望AI analysis grounded in cited sources
漏洞獎勵計畫的透明度和道德規範將受到更嚴格的審查。
此次爭議的公開性質以及追溯性政策變更,可能會促使業界呼籲制定更清晰、不可變的漏洞獎勵條款,以及企業更透明的溝通方式。
安全研究員與供應商之間的信任可能受到侵蝕。
此類事件,即研究人員感到受到不公平待遇或其努力被貶低,可能會阻礙未來的負責任披露,從而可能導致更多漏洞在野外被利用或在黑市上出售。
AMD 可能面臨聲譽損害和研究人員參與度下降。
負面宣傳和被認為不道德的行為可能會阻止安全研究人員參與 AMD 的漏洞獎勵計畫,使該公司更難以主動識別和修復漏洞。
⏳ 時間線
2018-03
CTS Labs 在僅提前 24 小時通知的情況下,披露了 AMD 晶片漏洞,引發了關於漏洞披露道德的爭議,並涉及做空者。
2026-01-27
安全研究員 MrBruh 發現了 AMD 自動更新軟體中的漏洞。
2026-02-06
MrBruh 透過 AMD 的漏洞獎勵計畫報告了該漏洞。
2026-02
AMD 關閉了該報告,聲稱該漏洞超出其計畫範圍,因為其政策未涵蓋中間人攻擊。
2026-06-09
AMD 發布了該漏洞的修補程式,距離最初發現已過去 124 天。
2026-06-12
MrBruh 公開披露其發現後,AMD 要求其撤下貼文,並追溯性地修改了其漏洞獎勵條款。該漏洞被分配了 CVE-2026-40677。
📎 來源 (14)
Factual claims are grounded in the sources below. Forward-looking analysis is AI-generated interpretation.
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: cnBeta (Full RSS) ↗
