Исследователь по безопасности Пол ЛаРоса наткнулся на проблему в автообновлении AMD для Windows. Утилиты вроде Ryzen Master скачивали обновления по обычному HTTP, без шифрования. Это значит, что любой злоумышленник в вашей сети мог спокойно подменить легитимный драйвер на вредоносный — а система доверчиво установила бы всё, что подсунул атакующий. Классическая man-in-the-middle атака. ЛаРоса нашёл полноценный способ удалённого выполнения кода (remote code execution) через, казалось бы, безопасный процесс обновления.
Он ожидал получить за находку баунти в $10,000. Но AMD ответила отказом, сославшись на внутренние правила: мол, атаки типа man-in-the-middle под программу вознаграждений не подпадают. При этом компания признала уязвимость реальной. ЛаРоса согласился подождать стандартные 90 дней, чтобы AMD выпустила патч. AMD попросила ещё времени. Потом ещё. В итоге финальное исправление вышло через 124 дня после первого отчёта — это сильно дольше рекомендуемых 5–14 дней для критических дыр.
Но самое неприятное — качество самого «фикса». Да, AMD переделала установщик, чтобы он качал файлы по шифрованному соединению. Однако проверку загруженного файла на целостность компания оставила на CRC32. Это устаревшая контрольная сумма, которую без труда подделывает любой решительный атакующий. По-хорошему, автообновления должны проверять криптографическую подпись, которую невозможно подделать. Здесь же оставили дыру, хоть и меньшую.
История показывает неприятную практику: крупный вендор чинит самую очевидную проблему, отказывается платить исследователю через лазейки в правилах, а глубокие архитектурные недостатки защиты оставляет нетронутыми. Остаётся только гадать, сколько ещё «безопасных» автообновлений от других производителей устроены так же хрупко — и кому важнее бюджет на bug bounty, а не реальная безопасность пользователей.