AMD rejeita recompensa de 10.000 dólares por vulnerabilidade crítica

O que chegou de novo?

A AMD negou a um pesquisador de segurança uma recompensa de bug de cerca de 9.200€ após a descoberta de uma vulnerabilidade crítica no software de atualização automática. Apesar dos esforços do investigador Paul, a empresa justificou a recusa com a política do seu programa, gerando controvérsia na comunidade de segurança cibernética.

Por dentro da máquina (Análise Técnica)

A vulnerabilidade identificada por Paul refere-se a uma possível execução remota de código (RCE) resultante de um ataque man-in-the-middle (MITM) no software de atualização da AMD. Embora esta situação tenha sido tratada pela empresa, a forma como geriram a comunicação e a resolução do problema deixou muito a desejar. Paul relatou que, apesar da correção ter sido implementada, a empresa utilizou um método de verificação de integridade do ficheiro (CRC32) que já não é considerado seguro. A questão central aqui é a eficácia do sistema de atualizações da AMD, que aparentemente não estava a funcionar adequadamente, segundo relatos de utilizadores.

Vale a pena o investimento?

Se já utilizou software da AMD, é prudente verificar se possui a versão mais recente após esta correção. No entanto, a maneira como a AMD lidou com a situação suscita dúvidas sobre a confiança em futuras atualizações. É importante considerar estas questões antes de optar por um investimento em hardware AMD, especialmente se a segurança é uma das suas prioridades.

Veredito do Técnico

No geral, a situação revela fragilidades na abordagem da AMD à segurança do software e na sua interação com a comunidade de segurança. Enquanto a atual versão do software parece corrigir a vulnerabilidade, a maneira como a empresa geriu a recompensa e as comunicações deixa uma má impressão.