AMD जिस RCE को ठीक नहीं करना चाहता था

कमज़ोरी और प्रभाव

  • AMD की Windows उपयोगिताएँ (जैसे Ryzen Master) एक ऐसे auto-updater के साथ शिप हुईं जो update metadata और binaries लाने के लिए plain HTTP का उपयोग करता था।
  • इससे MITM या संबंधित हमलों (जैसे DNS poisoning) के ज़रिए remote code execution संभव हो जाता है, हालांकि कुछ लोगों का कहना है कि updater व्यवहारिक रूप से आधा-टूटा हुआ था, जो “mass” exploitation को सीमित करता है।
  • कई टिप्पणीकार इस बात पर ज़ोर देते हैं कि code चला सकने वाला कोई भी vendor auto-updater पूरी इंटरनेट को hostile मानकर चले और MITM से सुरक्षा दे।

Bug Bounty Scope और Incentives

  • AMD के bounty vendor ने शुरुआत में रिपोर्ट को “out of scope” कहकर खारिज कर दिया क्योंकि MITM को बाहर रखा गया था।
  • एक पक्ष का तर्क है कि यह सामान्य है: bounty internal engineering priorities तय करने का एक संकीर्ण साधन हैं, कोई comprehensive security program नहीं, और कंपनियों के लिए भुगतान करना आम तौर पर प्रोत्साहित होता है।
  • दूसरे लोग कहते हैं कि “out of scope” का वास्तविक अर्थ “हम इसको ठीक करने या इसके लिए भुगतान करने की इच्छा नहीं रखते” है, और बाहरी पर्यवेक्षकों को बस यही दिखता है कि गंभीर bugs महीनों तक अनदेखे रहे।
  • यह मानने पर भी संदेह जताया जाता है कि internal incentives हमेशा bounty भुगतान के साथ संरेखित होते हैं, और सामान्य रूप से corporate misaligned incentives का हवाला दिया जाता है।

AMD का Fix और CRC32 “Signature”

  • AMD ने अंततः updater को HTTPS पर स्विच किया, लेकिन रिपोर्ट के अनुसार डाउनलोड को केवल CRC32 से “verify” करता है।
  • कई टिप्पणीकार इसे security-illiterate बताते हैं: CRC32 accidental corruption पकड़ता है, malicious tampering नहीं, और collision करना बहुत आसान है।
  • कुछ लोग नोट करते हैं कि असली missing piece code-signing verification है; सिद्धांततः HTTPS के साथ proper signatures पर्याप्त होंगे।

Threat Models और MitM

  • bounty scope से MITM को बाहर रखने पर बहस: कुछ लोग इसे environment की responsibility सीमित करने के रूप में बचाव करते हैं; दूसरे कहते हैं कि बिना cryptographic checks के HTTP पर MITM स्पष्ट रूप से scope में होना चाहिए।
  • इसे bounties से social engineering को बाहर रखने से तुलना की जाती है; आलोचक कहते हैं कि यह अलग है क्योंकि यहाँ किसी human interaction की ज़रूरत नहीं होती।

AMD Software पर व्यापक आलोचनाएँ

  • कई टिप्पणियाँ AMD के software और drivers को लगातार खराब बताती हैं: buggy utilities, खराब fan curves, irritating pop-ups, और GPU compute से जुड़ी लंबे समय से चली आ रही समस्याएँ।
  • शिकायतें ROCm, HIP, और dropped या कमजोर OpenCL support तक फैली हैं, जिन्हें CUDA के मुकाबले self-sabotage माना जाता है।
  • कुछ लोग कंपनी culture के बारे में अनुमान लगाते हैं जो software को कम महत्व देती है और engineers को कम भुगतान करती है।

Ethics, Disclosure, और प्रतिक्रियाएँ

  • कई लोग इसे इस बात का प्रमाण मानते हैं कि white-hat काम और bug bounties increasingly thankless हो गए हैं।
  • कुछ लोग vendor के अटकने या scope rules के पीछे छिपने पर जल्दी full public disclosure की वकालत करते हैं।
  • कुछ लोग researcher के लिए crowd-funding से एक “bounty” देने का सुझाव देते हैं।
  • हल्की-फुल्की अटकलें possible state-actor backdoors के बारे में भी दिखाई देती हैं, लेकिन दूसरे इसे साधारण negligence मानते हैं।