尽管修复了 Windows 自动更新程序中的 HTTP 漏洞，AMD 仍拒绝向研究员保罗·拉罗萨支付 10,000 美元的奖金。发现关键安全漏洞应该获得奖励，而不是被拒绝。AMD 的自动更新程序通过不安全的 HTTP 连接下载软件，让网络攻击者在例行更新期间将恶意代码潜入系统。发现这一远程代码执行缺陷的研究员期待获得 10,000 美元的奖金，而 AMD 在四个月后修复了该问题，并未支付任何费用。 这个可能控制你系统的漏洞 一个值得信赖的更新过程变成恶意软件的开放通道。保罗·拉罗萨发现，AMD 的 Windows 自动更新程序——用于 Ryzen Master 和其他实用程序——通过未加密的 HTTP 连接获取更新。任何在你网络中的人都可以执行中间人攻击，将合法的驱动程序下载替换为恶意软件。想象一下，就像点外卖，却让陌生人在餐厅和你家门口之间拦截和更换你的餐。你的系统会乐意安装攻击者提供的任何内容，认为它来自 AMD。如果你使用了处理自动更新的 AMD 工具，这将影响到你。该漏洞为攻击者实现远程代码执行创造了一条高速公路，基本上通过应该是可信的更新过程来获得对你机器的控制。 四个月的“再等一会” 最初为期 90 天的披露窗口变成了一场四个月的等待游戏。AMD 承认漏洞是真实的，但拒绝支付奖金，引用了针对中间人攻击的政策排除。该公司在二月份要求拉罗萨推迟公开披露，承诺在 90 天内修复——这是安全研究中的标准做法。然后 AMD 要求更多的时间。然后又是更多。最终补丁是在最初报告后的 124 天到来。将这个时间线与安全最佳实践进行比较：关键漏洞应该在 5-14 天内修复，而不是四个月。这就像你的医生发现癌症并安排下一季进行治疗。一些漏洞需要紧急处理，尤其是那些影响用户信任以确保安全的自动更新机制。 在“修复”后仍使用弱安全 该补丁解决了一个问题，但留下了更深层的安全弱点。AMD 重新设计了自动更新程序以使用加密下载，但该修复揭示了更深的问题。更新的软件仍然使用 CRC32 验证下载文件——一种如同纱窗一般不安全的校验和。现代软件应该使用无法伪造的加密签名更新，而不是攻击者可以操纵的校验和。该案例揭示了主要供应商处理安全问题的方式：修复直接问题，通过政策漏洞避免支付研究人员，并留下根本的弱点。你会想知道还有哪些其他“安全”的自动更新程序同样脆弱，以及公司是否更关心他们的漏洞奖金预算，而非你的系统安全。