Разработчик нашел способ перехвата данных в процессе обновления ПО AMD, что открывало путь к выполнению произвольного кода на устройствах пользователей. В рамках программы Bug Bounty он отправил подробный отчет, ожидая стандартной выплаты за уязвимость уровня RCE. В компании заявку отклонили, аргументировав отказ тем, что подобные сценарии MITM формально не подпадают под критерии их политики выплат.
AMD оставила исследователя без премии за найденную уязвимость
Исследователь безопасности обнаружил критическую уязвимость в системе обновлений драйверов AMD, позволявшую удаленно выполнять код через атаку типа «человек посередине». Несмотря на подтвержденную угрозу и оперативное уведомление, компания отказалась выплачивать обещанное вознаграждение в 10 000 долларов, сославшись на внутренние правила программы поощрений.
Процесс устранения бага растянулся на 124 дня. Исследователь неоднократно сталкивался с задержками и переносами сроков, пока инженеры расширяли область затронутых компонентов. Вопреки соблюдению условий эмбарго и временному удалению публикации об ошибке, автор отчета не получил никакой финансовой компенсации за проделанную работу. Сама уязвимость в итоге была исправлена, но конфликт вокруг условий выплат остался неразрешенным.
Комментарии (0)
Пока нет комментариев. Будьте первым!