在我的新游戏PC上，不断弹出的烦人的控制台窗口中断了我多次后，我终于追踪到引发问题的可执行文件，发现它是AMD的自动更新软件。由于 frustration，我决定通过反编译该软件来惩罚它，以弄清楚它是如何工作的，并在此过程中意外发现了一个微不足道的远程代码执行（RCE）漏洞。我发现的第一件事情是他们将更新URL存储在程序的app.config中。虽然在生产中使用他们的“Development” URL有点奇怪，但它使用的是HTTPS，因此是完全安全的。当您在网页浏览器中打开这个.xml URL时，真正的问题开始了，你会意识到所有可执行下载的URL都使用HTTP。这意味着，如果网络上的恶意攻击者，或者能够访问您ISP的国家，可以轻松地执行中间人攻击，并用他们选择的恶意可执行文件替换网络响应。我希望AMD或许有某种证书验证，以确保它无法下载和运行任何未签名的可执行文件。然而，快速查看反编译代码表明，自动更新软件没有进行任何这种验证，而是立即执行下载的文件。在发现这一点后，我认为将其报告给AMD是值得的，因为这似乎相当严重。不幸的是，他们的漏洞奖励计划的服务条款规定，中间人攻击不在范围内，因此被关闭了。更新！在这个问题在Hacker News上爆发的一天内，AMD联系了我，并表示他们会对此事进行调查。我来自AMD PSIRT。我们仍在对您的报告进行内部审查。请注意，即使Intigriti已经因不在漏洞奖励计划的范围内而拒绝了提交，我们仍然乐于审查细节，以确定是否可能存在潜在的有效性。注意：Intigriti是AMD用于初步甄别的第三方漏洞奖励平台，而PSIRT（产品安全事件响应团队）是AMD的内部安全团队。此外，他们要求我在补丁发布之前撤下博客文章。我们被告知，讨论此问题的博客文章已被发布，似乎不符合该程序的条款。您能否请撤下该文章，并等待我们完成审查并提供官方回应？我同意这样做，事后看来，我认为这是一个错误的选择。报告被标记为超出范围，因为它不符合我们当前程序指南的奖金资格，因为它影响可选工具，并依赖中间人攻击场景。在进一步的内部审查后，我们决定：- 发布此漏洞的CVE- 实现修复- 给予您安全研究员认可在同意撤下我的博客，直到漏洞被修复后，他们跟进并详细说明，他们不会支付我任何费用，因为这是一个可选工具，并且需要中间人攻击，而是会为此发布CVE并给我信用。您打算遵循什么披露时间表？例如，90 + 30天我问他们对此问题的披露期规划是什么。行业标准是90天，并且在查看其他研究人员的报告后，我可以确认大多数AMD的漏洞在90天内解决。嗨 @mrbruh，我们可能需要更长的禁令，因为类似Ryzen Master的其他工具似乎也受到影响，并需要发布。我会在我们了解更多信息时保持您更新。因此，总结一下，目前的披露状态：他们声明这不在奖金范围之内，但请求我撤下博客文章，因为这违反了漏洞奖励的规则。他们不仅要求我撤下博客文章，还要求我将其保留一段时间，超出了行业标准。他们通过表示此问题可能影响他们的多个软件产品来证明这一延长的禁令期；然而，补丁本身可能只是简单地在其托管的XML文件中的http URL中添加一个s（因此应该相对容易修复）。另外，如果这是一个如此严重的问题，以至于数百万人的计算机可能随时被AMD的多个产品黑客攻击，那么迅速修复这问题不是优先考虑的事项吗？我最终又等了69天，从披露到我再次联系总共87天。我告诉他们，我不能继续无限期等待他们修复这个问题，并计划在初步披露后的100天再次发布我的报告。尽管他们曾向我保证会保持更新，但AMD并未主动向我更新进展。他们只是告诉我，在禁令结束前的几天，告诉我此漏洞的补丁是什么（而且只有在我明确询问后）。多个可选工具受到影响。我们正在等待发布。