AMD refuzon 10,000 dollarë për bug bounty pas rregullimit të dobësisë në përditësuesin Windows
Paul LaRosa, një hulumtues i sigurisë, ka zbuluar një dobësi kritike në përditësuesin automatik të Windows-it të AMD-së, i cili përdoret nga Ryzen Master dhe mjete të tjera. Përditësuesi shkarkonte përditësime përmes lidhjeve HTTP të paenkriptuara, duke i lejuar sulmuesit në rrjet të kryejnë sulme “man‑in‑the‑middle” dhe të zëvendësojnë skedarët legitime me kod keqbërës. Nëse dikush ndërhyn në rrugën e shkarkimit, sistemi do të instalonte pa problem programin e keqbërës, duke i dhënë sulmuesit kontroll të plotë në pajisje.
AMD-ja pranoi se çështja ishte reale, por u përpoq të shmangë pagesën e shpërblimit duke iu referuar politikave të saj që përjashtojnë sulmet “man‑in‑the‑middle”. Kompania kërkoi nga LaRosa të vonojë publikimin e gjetjes në shkurt, duke premtuar një rregullim brenda 90 ditësh – një praktikë e zakonshme në fushën e sigurisë. Megjithatë, afati u zgjat vazhdimisht dhe zgjati në total 124 ditë që nga raportimi fillestar deri në shpërndarjen e patch‑it, një kohë shumë më e gjatë se standardet e rekomanduara (5‑14 ditë për dobësi kritike).
Patch‑i i fundit ndryshoi përditësuesin për të përdorur shkarkime të enkriptuara, por zgjidhja mbeti e paplotë. Softueri vazhdon të verifikojë skedarët e shkarkuar përmes kontrollit CRC32, një metodë që konsiderohet pothuajse pa vlerë sigurie në ditët e sotme. Ekspertët e sigurisë argumentojnë se përditësimet duhet të nënshkruhen kriptografikisht, në mënyrë që të mos mund të falsifikohen. Rasti tregon se, ndonëse prodhuesit e mëdhenj mund të “rregullojnë” problemet e menjëhershme, shpesh shmangin pagesën e kërkuesve të dobësive dhe lënë në vend dobësi të thella strukturore, duke lënë përdoruesit në rrezik.
Ky incident nxjerr në pah nevojën për transparencë dhe reagim të shpejtë nga kompanitë e teknologjisë, si dhe për një politikë të drejtë të shpërblimeve që inkurajon hulumtuesit të raportojnë dobësitë kritike. Ndërkohë, përdoruesit e mjeteve AMD duhet të jenë të vetëdijshëm se përditësuesi i tyre mund të ketë ende dobësi të fshehura dhe të kërkojnë masa shtesë sigurie në sistemet e tyre.