白帽協助 AMD 修復重大安全漏洞
卻以政策條款為由 拒絕提供 1 萬元獎金

【由白變黑 🫤】外媒報道，AMD 近日陷入網絡安全爭議。一名網絡安全研究人員發現，AMD 的 Windows 自動更新程式存在重大安全漏洞，可能導致用戶裝置遭惡意軟件入侵並控制。然而，AMD 在耗時 124 天完成修復後，卻以政策條款為由，拒絕向該名研究人員支付 1 萬美元（約合新台幣 32 萬元 / 港幣 7.8 萬元）的漏洞賞金（Bug Bounty），引發網絡安全社群高度關注與不滿。

據《Gadget Review》報道，網絡安全研究員 Paul LaRosa 發現了一個存在於 AMD Ryzen Master 軟件的嚴重網絡安全漏洞。該軟件的自動更新模組在下載軟件時，竟採用未加密的不安全 HTTP 連線，而非加密的 HTTPS 連線。

該漏洞為網絡攻擊者開啟了方便之門，令攻擊者可發動「中間人攻擊」（Man-in-the-Middle Attack），在傳輸過程中攔截並將正常的驅動程式更換為惡意程式碼。由於系統對該更新程式具備高度信任，裝置將會直接安裝攻擊者所提供的惡意檔案，從而讓攻擊者取得「遠端執行程式碼」（Remote Code Execution）的權限，全面控制受害用戶的電腦。

根據網絡安全業界的常規做法，此類重大安全漏洞通常應在 5 至 14 天內完成修復，且漏洞通報普遍設有 90 天的公開披露期限。然而，在 Paul LaRosa 向 AMD 報告了該漏洞後，AMD 雖然承認漏洞確實存在，卻於今年 2 月要求 Paul LaRosa 延後公開時程，承諾將於 90 天內解決。隨後 AMD 又數次推遲期限，最終耗費高達 124 天才釋出修補程式。

更可笑的是，AMD 在完成修復後，竟以「中間人攻擊屬於政策排除範圍」為由，拒絕向 Paul LaRosa 支付原定的 1 萬美元漏洞賞金。

更好笑的是，AMD 雖然重新調整了自動更新程式並改用加密連線下載，但卻採用極易被破解與篡改的 CRC32 循環冗餘校驗來驗證下載檔案，而非採用現代軟件標準的加密簽章（Cryptographic Signatures）。這意味著若有資深的惡意攻擊者刻意操控，該機制仍可能遭到攻破。

不少網絡安全人員都公開支持 Paul LaRosa，並指出白帽就是靠著漏洞賞金來生存，並為網絡安全業界帶來貢獻。然而，近年大型科技廠商在處理網絡安全漏洞時的投機心態，企圖透過法律或政策漏洞規避支付研究人員應得的報酬，這不僅打擊了外部網絡安全人員協助維護網絡安全的積極性，日後恐再無人願意提供漏洞通知，甚至會迫使這些技術高超的人才由「白帽」變成「黑帽」。

真心！！日後這些大型科技廠商「仆街」，被黑客攻破真的不要問「點解」……

資料來源:

• AMD Stiffs Researcher $10,000 Bug Bounty After Critical Security Flaw, Takes 124 Days to Fix
• The RCE that AMD wouldn’t fix