AMD 拒付 1 万美元漏洞赏金，安全专家历时 124 天提供协助未获分文

6 月 12 日消息，据 TomsHardware 今日报道，一位安全研究人员近期公开了其与 AMD 之间关于漏洞赏金的完整交涉经过。

尽管该研究员发现并协助修复了 AMD 软件自动更新工具中的一个远程代码执行漏洞，AMD 最终仍拒绝支付 1 万美元（注：现汇率约合 67876 元人民币）的赏金。

这位化名 Paul 的研究员早在今年 2 月就提交了漏洞报告，指出 AMD 自动更新器软件存在中间人攻击场景下的远程代码执行风险。但 AMD 方面认定，中间人攻击不在其漏洞赏金计划覆盖范围内，因此拒绝发放赏金。Paul 随后应 AMD 要求暂时撤下了描述该情况的博客文章。如今这篇文章重新上线，完整披露了双方长达数月的沟通过程。

好消息是，相关更新工具目前已完成修复，但整个过程远称不上顺利，且 Paul 至今未收到任何报酬。如果 AMD 当初完全认可该问题的严重程度，这一 RCE 漏洞本应价值 1 万美元。

今年 2 月，AMD 要求 Paul 暂时撤下博文时曾承诺，将发布标准 CVE 编号、修复软件并将发现归功于他，但明确表示赏金支付不在考虑范围内。Paul 对此表示同意，不过他事后反悔。

当时他询问 AMD 将采用什么样的时间表，并提议采用业内通行的 90 天披露窗口期。AMD 回应称“可能需要更长的保密期，因为受影响的工具不限于 Ryzen Master，还需发布其他工具的修复版本”。

这一说法引出多重疑问：其一，从代码层面看，这似乎只是将“http”替换为“https”的单字符改动，为何需要如此漫长的周期；其二，如果问题严重到需要如此长时间解决，那 Paul 的工作理应获得相应回报；其三，如果局势如此紧迫，为何 AMD 没有给予更高优先级处理。

尽管存在疑虑，Paul 最终还是同意将窗口期延长至 100 天。在截止日期临近时他向 AMD 询问进展，却被再次要求延期。AMD 给出的理由是“多个工具受该漏洞影响”，以及“客户要求在修复方案就绪后再给予额外时间”。最终 AMD 通知称修复将在 6 月 9 日准备就绪，距离 Paul 最初提交报告已过去 124 天。

值得肯定的是，AMD 对自动更新器中的下载代码进行了彻底重构，Paul 也验证了新版本确实能安全下载驱动程序。不过他同时指出，该软件仅使用已不被视作加密安全的 CRC32 哈希算法来校验下载文件的完整性。