AMD, otomatik güncelleme yazılımında bulunan güvenlik açığı nedeniyle yeniden gündeme geldi. Bir güvenlik araştırmacısı, şirketin yazılımında uzaktan kod çalıştırmaya kadar gidebilecek ciddi bir risk tespit ettiğini ve bu bulguyu AMD’nin hata ödül programı üzerinden bildirdiğini açıkladı.
Ancak süreç araştırmacının beklediği gibi ilerlemedi. AMD, açığı düzeltme tarafında adım atmasına rağmen 10 bin dolarlık ödül ödemesini reddetti. Şirketin gerekçesi ise saldırı senaryosunun program kapsamındaki kurallara uymadığı yönünde oldu.
AMD Güvenlik Açığını Kapattı Ama Ödeme Yapmadı
Paul adlı güvenlik araştırmacısı, AMD’nin otomatik güncelleme aracında ortadaki adam saldırısıyla kullanılabilecek bir açık tespit ettiğini belirtti. Bu tür bir senaryoda saldırgan, güncelleme sürecine müdahale ederek kullanıcı tarafında risk oluşturabilecek dosyaların indirilmesine yol açabiliyor. Araştırmacı da bu nedenle bulgusunu uzaktan kod çalıştırma sınıfına yakın bir güvenlik sorunu olarak değerlendirdi.
AMD ise raporu kabul etmek yerine, ortadaki adam saldırılarının hata ödül programı kapsamında yer almadığını bildirdi. Buna rağmen şirket, araştırmacıdan konuyla ilgili blog yazısını geçici olarak kaldırmasını istedi. Araştırmacı da AMD’nin açığı düzelteceği, CVE yayımlayacağı ve kendisine atıf yapacağı beklentisiyle bu talebi kabul etti. Ancak daha sonra bu kararından pişman olduğunu söyledi.
Sürecin uzaması da tartışmayı büyüttü. Araştırmacı başlangıçta 90 günlük standart açıklama süresini önerdi ancak AMD, birden fazla aracın etkilenmiş olabileceğini belirterek daha uzun süre istedi. Sonunda düzeltmenin 124 gün sonra hazır hâle geldiği aktarıldı. Yeni sürümde indirme mekanizmasının güvenli hâle getirildiği doğrulansa da yazılımın hâlâ eski kabul edilen CRC32 doğrulama yöntemini kullanması ayrıca eleştirildi.
İşin en ilginç tarafı ise açığı tetikleyecek güncelleme kodunun bazı yorumlara göre zaten düzgün çalışmıyor olması. Yani AMD’nin güncelleyicisi, kendisini sağlıklı biçimde güncelleyemediği için kullanıcıların yeni sürümü manuel olarak indirmesi gerekmiş olabilir. Bu tablo, AMD’nin açığı kapatmış olmasına rağmen araştırmacıya ödeme yapmamasıyla birleşince şirketin güvenlik topluluğuyla ilişkisi açısından pek iyi bir izlenim bırakmıyor.
M6 MacBook Pro iPad’lerin Sonu Olabilir
Samsung Galaxy S27 Ultra Eski Amiral Gemisi Şikayetlerini Bitirecek
Huawei Mate 90 Ailesi 5 Farklı Modelle Geliyor
Nothing Daha Fazla Kullanıcıya Ulaşmanın Yolunu Buldu