AMD se niega a pagar una recompensa de 10.000 dólares por una vulnerabilidad crítica

AMD está en el centro de una controversia tras negarse a pagar la recompensa prometida a un investigador de seguridad que descubrió un fallo crítico en su sistema de actualización automática de controladores. El experto encontró una vulnerabilidad que permite la ejecución remota de código (RCE) mediante un ataque "Man In The Middle" (MITM). Así lo informa Ixbt.com .

MITM es un tipo de ataque en el que un ciberdelincuente intercepta secretamente la comunicación entre dos dispositivos en una red. El investigador informó de este error a través del programa oficial de recompensas por errores de AMD y esperaba el pago de 10.000 dólares designado para vulnerabilidades de nivel RCE.

Sin embargo, la empresa rechazó la solicitud argumentando que los escenarios MITM no están cubiertos por su política de pagos. A pesar de esto, AMD reconoció el problema y comenzó a trabajar en una solución. Curiosamente, la empresa tardó 124 días en parchear completamente la vulnerabilidad.

Resultó que el proceso de corrección se retrasó varias veces y que el alcance del problema era mayor de lo estimado inicialmente. Aunque el investigador aceptó un acuerdo de confidencialidad y eliminó temporalmente su publicación sobre el error, finalmente no recibió ninguna compensación.