AMD, otomatik güncelleme yazılımındaki uzaktan kod yürütme güvenlik açığını yamaladı, ancak bu hikayenin çok daha fazlası var. Şirket, bunu bildiren araştırmacıya karşı sergilediği tutum nedeniyle bir sürü eleştiriyle karşı karşıya. Kırmızı ekip önce hatayı "kapsam dışı" olarak geçiştirdi, ardından araştırmacıdan sessiz kalmasını istedi, sonra da bu sessizliği bir şart haline getirmek için kurallarını değiştirdi.
Güvenlik araştırmacısı MrBruh, yeni oyun bilgisayarında sürekli olarak AMD güncelleme konsolu penceresinin açılması üzerine bu güvenlik açığını keşfetti .
Yazılımın tersine mühendisliği incelendiğinde, AMD'nin güncelleme aracının güncelleme listesini HTTPS üzerinden çektiği, ancak çalıştırılabilir dosya indirme bağlantılarının kendilerinin düz HTTP kullandığı ortaya çıktı. Daha da kötüsü, güncelleme aracının indirilen dosyayı çalıştırmadan önce herhangi bir sertifika doğrulaması veya gerçek imza kontrolü yapmadığı anlaşıldı.
Bu güvenlik açığı, ortadaki adam saldırısına olanak sağlayabilir. Aynı ağda bulunan veya bağlantıya daha yukarıdan müdahale edebilecek konumda olan biri, AMD'nin güncelleme dosyasını kötü amaçlı bir yürütülebilir dosya ile değiştirebilir. Güncelleyici yüksek ayrıcalıklarla çalıştığı için sonuç uzaktan kod yürütülmesi olabilir.
MrBruh, 27 Ocak'ta keşfettiği sorunu 6 Şubat'ta AMD'ye hata ödül programı aracılığıyla bildirdi. Şirketin yanıtı, "kapsam dışı" olduğu gerekçesiyle raporu kapatmak oldu; çünkü bu bir ortadaki adam saldırısı içeriyordu ve isteğe bağlı araçları etkiliyordu. Bu da, hata daha sonra CVE-2026-40677 ve CVSS 4.0 puanı 7.7 almasına rağmen, ödül verilmemesi anlamına geliyordu. Tüm süreç 124 gün sürdü ve ambargo 9 Haziran'da sona erdi.
MrBruh bulgularını yayınladıktan ve gönderi Hacker News'te ilgi gördükten sonra, AMD'nin dahili PSIRT ekibi konunun hala incelendiğini söylemek için yeniden ortaya çıktı. Şirket daha sonra, açıklamanın programın şartlarına uymadığını belirterek, düzeltme üzerinde çalışırken gönderiyi kaldırmasını istedi.
Gamers Nexus'a göre, AMD daha sonra hata ödül programı kurallarının metnini değiştirerek, bir raporun ödül için uygun olmadığı veya kapsam dışında olduğu değerlendirilse bile, araştırmacıların AMD'nin yazılı izni olmadan güvenlik açığı bilgilerini ifşa etmemesi gerektiğini belirtti. Görünüşe göre AMD, MrBruh'u ancak kendisi bu kuralı ihlal ettikten sonra suçladı.
AMD'nin resmi bülteni artık güvenlik açığını kabul ediyor ve MrBruh'a teşekkür ediyor.
https://www.amd.com/en/resources/produc ... -9027.html
AMD Ryzen Master 2.14.3, AMD µProf 5.3 ve AMD Management Console 14.0.0'ın güvenlik açığı giderilmiş sürümler olduğunu belirtiyor . Ancak yama hala bazı soruları gündeme getiriyor.
AMD, MrBruh'a tüm güncelleme iletişimlerinin artık HTTPS kullandığını ve güncellemelerin imza doğrulamasından geçtiğini söyledi. Araştırmacı, HTTPS iddiasını doğruladığını ancak indirilen yürütülebilir dosyada yalnızca kriptografik imza olarak kabul edilmeyen bir CRC32 kontrolü bulduğunu belirtiyor.
MrBruh ayrıca, ayrı bir yönlendirme hatası nedeniyle güncelleme aracının kendisini düzgün bir şekilde güncelleyemeyebileceğini söylüyor. Kullanıcıların AMD yazılımını tamamen kaldırmalarını ve bunun yerine şirketin web sitesinden en son sürümleri manuel olarak indirmelerini öneriyor.
Kaynak :
https://www.techspot.com/news/112746-am ... after.html
