AMD 无法修复的 RCE

AMD 无法修复的 RCE 在被我的新游戏 PC 上定期弹出的烦人控制台窗口多次打断后，我设法将有问题的可执行文件追踪到 AMD 的 AutoUpdate 软件。沮丧之下，我决定通过反编译来惩罚这个软件，以弄清楚它是如何工作的，并在此过程中意外发现了一个微不足道的远程代码执行（RCE）漏洞。我发现的第一件事是他们将更新 URL 存储在程序的 app.config 中。尽管他们在生产中使用“开发”URL 有点奇怪，但它使用 HTTPS，因此非常安全。当您在 Web 浏览器中打开此 .xml URL，并意识到所有可执行下载 URL 都使用 HTTP 时，真正的问题就开始了。这意味着您网络上的恶意攻击者或有权访问您的 ISP 的国家可以轻松执行 MITM 攻击，并用他们选择的任何恶意可执行文件替换网络响应。我希望 AMD 可能有某种形式的证书验证，以确保它无法下载和运行任何未签名的可执行文件。然而，快速查看反编译代码后发现，AutoUpdate 软件没有进行此类验证，而是立即执行下载的文件。发现这一点后，我认为值得向 AMD 报告，因为它看起来相当严重。不幸的是，他们的错误赏金计划的服务条款规定中间人攻击超出了范围，因此该计划已被关闭。更新！此事在《黑客新闻》上曝光后的一天之内，AMD 就联系了我，并表示他们毕竟会调查此事。我是在 AMD PSIRT 上写的。我们仍在对您的报告进行内部审查。请注意，即使 Intigriti 因超出赏金计划范围而拒绝提交，我们仍然很乐意审查详细信息以确定是否存在任何潜在的有效性。注意：Intigriti 是 AMD 用于初始分类的第三方错误赏金平台，而 PSIRT（产品安全事件响应团队）是 AMD 的内部安全团队。此外，他们要求我删除该博客文章，直到他们修复问题为止。我们获悉，讨论此问题的博客文章已经发布，但这似乎不符合该计划的条款。您能否将该帖子删除并等待我们完成审核并提供正式回复？我同意这样做，事后看来，我认为这是错误的选择。该报告被标记为超出范围，因为根据我们当前的计划指南，它不符合获得赏金的资格，因为它影响可选工具并依赖于 MITM 攻击场景。经过进一步的内部审查，我们决定： - 为此漏洞发布 CVE - 实施修复 - 为您提供安全研究人员的认可 在同意删除我的博客直到漏洞得到修补后，他们随后详细说明他们不会向我付款，因为它是一个可选工具并且需要 MITM，但相反他们会为此发布 CVE 并给我信用。您打算遵循什么披露时间表？例如 90 + 30 天，我问他们计划在此问题上遵循什么披露期限。行业标准是 90 天，在查看其他研究人员的文章后，我可以确认 AMD 的大多数漏洞都在 90 天内得到了解决。 @mrbruh 您好，我们可能需要更长的禁运时间，因为 Ryzen Master 之外的其他工具似乎受到影响并且需要发布。当我们了解更多信息时，我会及时通知您。总而言之，这就是披露的当前状态：他们宣布它超出了赏金范围，但要求我删除该博客文章，因为它违反了错误赏金的规则。他们不仅要求我删除该博客文章，还要求我将其保留比行业标准更长的时间。他们为延长禁运期辩护，称这个问题可能会影响他们的几种软件产品；然而，补丁本身可能很简单，只需在其托管 XML 文件中的 http URL 中添加一个 s（因此修复起来应该相对容易）。此外，如果这是一个如此大的问题，以至于数百万人的计算机可能随时受到 AMD 产品的攻击，那么迅速解决这个问题应该是首要任务，不是吗？我最终又等了 69 天，从披露到我再次联系，总共等待了 87 天。我告诉他们，我不能无限期地等待他们解决这个问题，并且我计划在初次披露后 100 天再次发布我的文章。 AMD 并没有主动向我通报最新情况，尽管他们向我保证他们会这样做。他们只是在禁运结束前几天才告诉我这个漏洞的修复方法是什么（并且只有在我明确询问之后）。多个可选工具受此影响。