AMD verhelpt na maanden RCE-beveiligingslek in updatesoftware

In dit artikel:

AMD heeft na maanden een kwetsbaarheid in zijn updateproces dichtgeplakt waarmee aanvallers via een man-in-the-middle (MITM)-aanval remote code execution hadden kunnen uitvoeren. De updater haalde bestanden binnen via onbeveiligd HTTP, waardoor iemand op hetzelfde netwerk of bij de internetprovider gemanipuleerde updates had kunnen injecteren.

Een Nieuw-Zeelandse programmeur met het alias MrBruh meldde het probleem op 6 februari bij het bugbountyplatform dat AMD gebruikt. Dat platform sloot de melding dezelfde dag omdat MITM-aanvallen volgens hen niet onder het programma vallen. De onderzoeker publiceerde vervolgens een blogpost; AMD vroeg die offline te halen en zei geen beloning toe te kennen, maar wel een update te ontwikkelen en hem te bedanken.

Na 124 dagen schakelde AMD de downloads naar HTTPS, maar de melder stelt dat AMDs bewering over controle van digitale handtekeningen niet klopt: momenteel wordt alleen een CRC-32-check toegepast, wat geen cryptografische beveiliging biedt. Dit onderstreept het belang van zowel veilige transportlagen (HTTPS) als echte cryptografische ondertekening voor updates.