🇨🇳較早收集於 14h

AMD 被指拖延修補漏洞並拒付漏洞獎金

AMD 被指拖延修補漏洞並拒付漏洞獎金
PostLinkedIn
🇨🇳閱讀原文: cnBeta (Full RSS)

💡了解與硬體供應商漏洞獎勵計畫合作的風險,以保障您的研究成果。

⚡ 30-Second TL;DR

有什麼變化

AMD 被指控花費 124 天才處理回報的安全漏洞。

為什麼重要

此爭議可能損害 AMD 在白帽駭客社群中的聲譽,進而影響未來的負責任漏洞披露。這凸顯了硬體供應商建立清晰且不可變更的安全披露政策之重要性。

下一步行動

若您是安全研究員,在向硬體供應商提交重大漏洞前,請務必以書面形式記錄漏洞獎勵計畫的條款。

誰應關注:Researchers & Academics

關鍵要點

  • AMD 被指控花費 124 天才處理回報的安全漏洞。
  • 據稱該公司追溯修改了漏洞獎勵計畫的條款。
  • 研究員在政策變更後被拒付 1 萬美元獎金。
  • 此事件引發網路安全社群對企業透明度的批評。

🧠 深度解析

Web-grounded analysis with 14 cited sources.

🔑 增強重點摘要

  • 該漏洞是由安全研究員 MrBruh(又名 Paul)發現的,涉及 AMD 自動更新軟體中的遠端程式碼執行 (RCE) 缺陷,可透過中間人 (MITM) 攻擊利用。
  • AMD 最初以 MITM 攻擊不在其漏洞獎勵計畫範圍內為由,駁回了該報告。
  • 該漏洞後來被分配了 CVE-2026-40677,並獲得了 CVSS 4.0 評分 7.7。
  • 在研究員公開披露其發現並引起關注後,AMD 要求其撤下貼文,並追溯性地修改了其漏洞獎勵條款,要求即使對於不符合獎勵資格或超出範圍的報告,也必須遵守不披露規定。
  • 儘管 AMD 重新設計了自動更新程式的下載程式碼以修復漏洞,但新版本仍使用 CRC32 進行檔案驗證,這在加密上被認為不安全。
📊 競品分析▸ Show
公司漏洞獎勵計畫狀態獎勵範圍報告提交平台披露政策初次回應時間目標 (競爭性)
AMD公開漏洞獎勵計畫據稱拒付 1 萬美元獎金Intigriti協調漏洞披露 (CVD),但追溯修改條款要求不披露124 天修補漏洞,回應時間引發爭議
Intel公開漏洞獎勵計畫 (自 2018 年起)500 美元至 10 萬美元Intigriti協調漏洞披露 (CVD)關鍵漏洞 24 小時,高嚴重性 48 小時,中等 5 天,低嚴重性 10 天
NVIDIA漏洞披露計畫 (VDP),目前為封閉式漏洞獎勵計畫提供具名致謝,無明確獎金範圍Intigriti 或直接透過電子郵件協調漏洞披露 (CVD)致力於迅速專業回應

🛠️ 技術深入

  • 該漏洞存在於 AMD 的自動更新軟體中。
  • 自動更新程式透過 HTTPS 獲取更新列表,但可執行檔的下載連結卻使用純 HTTP。
  • 在執行下載的檔案之前,更新程式未執行憑證驗證或實際的簽章檢查。
  • 這使得攻擊者可以透過中間人 (MITM) 攻擊,將 AMD 的更新檔案替換為惡意可執行檔。
  • 由於更新程式以提升的權限執行,這可能導致遠端程式碼執行 (RCE)。
  • 儘管 AMD 重新設計了下載程式碼,但新版本仍使用 CRC32 雜湊進行檔案驗證,這在加密上已不被視為安全。

🔮 前景展望AI analysis grounded in cited sources

漏洞獎勵計畫的透明度和道德規範將受到更嚴格的審查。
此次爭議的公開性質以及追溯性政策變更,可能會促使業界呼籲制定更清晰、不可變的漏洞獎勵條款,以及企業更透明的溝通方式。
安全研究員與供應商之間的信任可能受到侵蝕。
此類事件,即研究人員感到受到不公平待遇或其努力被貶低,可能會阻礙未來的負責任披露,從而可能導致更多漏洞在野外被利用或在黑市上出售。
AMD 可能面臨聲譽損害和研究人員參與度下降。
負面宣傳和被認為不道德的行為可能會阻止安全研究人員參與 AMD 的漏洞獎勵計畫,使該公司更難以主動識別和修復漏洞。

時間線

2018-03
CTS Labs 在僅提前 24 小時通知的情況下,披露了 AMD 晶片漏洞,引發了關於漏洞披露道德的爭議,並涉及做空者。
2026-01-27
安全研究員 MrBruh 發現了 AMD 自動更新軟體中的漏洞。
2026-02-06
MrBruh 透過 AMD 的漏洞獎勵計畫報告了該漏洞。
2026-02
AMD 關閉了該報告,聲稱該漏洞超出其計畫範圍,因為其政策未涵蓋中間人攻擊。
2026-06-09
AMD 發布了該漏洞的修補程式,距離最初發現已過去 124 天。
2026-06-12
MrBruh 公開披露其發現後,AMD 要求其撤下貼文,並追溯性地修改了其漏洞獎勵條款。該漏洞被分配了 CVE-2026-40677。

📎 來源 (14)

Factual claims are grounded in the sources below. Forward-looking analysis is AI-generated interpretation.

  1. techspot.com
  2. reddit.com
  3. tomshardware.com
  4. intigriti.com
  5. intel.com
  6. intel.com
  7. intel.com
  8. intel.com
  9. hackerone.com
  10. nvidia.com
  11. nvidia.com
  12. nvidia.com
  13. intigriti.com
  14. techtarget.com
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: cnBeta (Full RSS)