北京
22歲的新西蘭程序員Paul坐在電腦前,寫下一份詳細的技術博客。他剛剛發現AMD官方自動更新工具AutoUpdate里藏著一個遠程代碼執行漏洞,攻擊者只需替換網絡響應,就能把惡意程序塞進用戶電腦。他把報告提交給AMD的漏洞賞金計劃,按規則這類高危漏洞理應獲得1萬美元獎勵。然而AMD的回復是:漏洞屬實,但賞金不付,還請把文章刪掉。
AMD的產品安全漏洞賞金計劃最高報酬可達3萬美元。Paul發現的這個RCE漏洞會讓攻擊者在同一網絡下發動中間人攻擊,受影響用戶可能高達數百萬。他在博客中拆解了技術細節——惡意方可以“用他們選擇的任何惡意可執行文件替換網絡響應”。但AMD在賞金計劃條款里明確寫了:MITM攻擊不在收錄范圍。公司承認了Paul的發現,也基于報告做出了修補,卻在漏洞被公開后關掉了他的報告單,還要求他無限期撤下原博文。
一方觀點認為,白紙黑字的規則就是規則。賞金計劃框定了威脅模型,如果條款已排除中間人攻擊,那么無論漏洞多嚴重,都不觸發支付義務。企業的安全響應流程需要邊界,否則每個超出范圍的問題都來討賞金,會打破項目可持續性。而且AMD最終在6月12日發布CVE報告完成了修復,扛起了修補責任。
另一方則感到寒心。Paul指出的漏洞讓AMD用戶暴露在中間人監聽和代碼注入風險下達124天之久,直到補丁落地。一個22歲獨立研究員用行動證明了產品存在大規模威脅,公司卻在長達四個月后才堵住缺口。消費者更關心的是:當廠商用條款把高危場景劃出賞金池,這種“按規則行事”是否正在消解社區對漏洞報告的信任?修復既然做了,說明問題真實且嚴重;不給賞金還要求刪文,打擊的可能是下一個愿意花時間挖洞的研究者。
拆開來看,這件事暴露了兩個矛盾的真相。AMD近期的確在爭取用戶好感,比如宣布為老顯卡免費提供重大升級,讓人們看到它在意存量用戶。但Paul的遭遇讓安全社區打了個問號:在意消費者,是否包含在意那些幫消費者提前避坑的白帽黑客?AutoUpdate漏洞的修復最終惠及所有用戶,可參與者卻被冷處理,這個信號比那1萬美元更讓人玩味。
對普通消費者而言,實際風險已經大幅收窄。Paul重新發布的博客給出了明確建議:卸載所有AMD舊版軟件,從官網下載最新版本覆蓋安裝,同時運行可靠的安全應用。打過補丁后,中間人攻擊的入口已被關閉,但這次事件留下的規則爭議遠未平復。當一個高危漏洞被定義為“范圍外”,到底是項目規則需要重新審視,還是研究者該為挖到對的洞卻找錯門而買單?這個問題,可能比一個已修復的漏洞更難打補丁。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
