AMD verweigert 10.000 Dollar Belohnung für kritische Sicherheitslücke

AMD steht in der Kritik, nachdem das Unternehmen die Zahlung einer versprochenen Belohnung an einen Sicherheitsforscher verweigert hat, der einen schwerwiegenden Fehler im automatischen Treiber-Update-System entdeckt hatte. Der Experte fand eine Schwachstelle, die Remote Code Execution (RCE) durch einen "Man In The Middle" (MITM)-Angriff ermöglicht. Dies berichtet Ixbt.com .

MITM ist eine Angriffsart, bei der ein Cyberkrimineller heimlich die Kommunikation zwischen zwei Geräten in einem Netzwerk abfängt. Der Forscher meldete diesen Fehler über das offizielle Bug-Bounty-Programm von AMD und erwartete die für RCE-Schwachstellen vorgesehene Zahlung von 10.000 Dollar.

Das Unternehmen lehnte den Antrag jedoch mit der Begründung ab, dass MITM-Szenarien nicht von seiner Zahlungsrichtlinie abgedeckt seien. Dennoch erkannte AMD das Problem an und begann mit der Arbeit an einer Lösung. Interessanterweise benötigte das Unternehmen 124 Tage, um die Schwachstelle vollständig zu beheben.

Es stellte sich heraus, dass der Patch-Prozess mehrfach verschoben wurde und das Ausmaß des Problems größer war als ursprünglich angenommen. Obwohl der Forscher einer Geheimhaltungsvereinbarung zustimmte und seinen Beitrag über den Fehler vorübergehend löschte, erhielt er letztendlich keinerlei Entschädigung.