A fabricante resolveu falha que usava protocolo HTTP para download de arquivos, expondo usuários a ataques de homem-no-meio (MITM) na rede ou via provedor de internet.
Programador neozelandês descobriu problema em fevereiro
A vulnerabilidade foi descoberta por um programador da Nova Zelândia, que utiliza o pseudônimo MrBruh. Ele reportou o problema em 6 de fevereiro à plataforma de bug bounty utilizada pela AMD. No mesmo dia, a plataforma informou que ataques MITM não estavam cobertos pelo programa de recompensas, e o relatório foi encerrado.
Segundo o programador, a falha permitia que um atacante na mesma rede ou com acesso ao provedor de internet realizasse facilmente um ataque MITM e distribuísse malware para usuários, uma vez que o software da AMD baixava arquivos via HTTP, sem criptografia.
AMD pediu remoção de blog e não pagou recompensa
Após a publicação de um artigo no blog do pesquisador, que recebeu muitos comentários no fórum Hacker News, a AMD informou no dia seguinte que estava investigando o problema e solicitou que ele removesse o post. Ele atendeu ao pedido, mas agora escreve que, em retrospecto, essa foi a escolha errada.
A AMD afirmou que o pesquisador não receberia qualquer compensação financeira, mas que uma atualização seria desenvolvida e que ele seria agradecido como relator.
A AMD também declarou que, a partir de agora, a assinatura digital das atualizações será verificada. No entanto, segundo o programador, isso não é verdade. “Eles realizam apenas uma verificação CRC-32 no arquivo baixado, o que não é criptograficamente seguro”, afirmou.
