Das Halbleiterunternehmen AMD führt ein Prämienprogramm für Produktsicherheitsfehler durch, das bis zu 30.000 US-Dollar an Sicherheitsforscher vergibt, die eine in AMD-Produkten entdeckte Schwachstelle melden. Doch als ein neuseeländischer Forscher eine Schwachstelle in der AutoUpdate-Software von AMD entdeckte, die eine Remote-Code-Ausführung (Remote Code Execution, RCE) ermöglichte, weigerte sich das Unternehmen, das Kopfgeld von 10.000 US-Dollar zu zahlen, das ein solcher Fehler wert gewesen wäre.
Bei dem betreffenden Forscher handelt es sich um einen 22-jährigen Programmierer namens Paul. Er hat in seinem MrBruh-Blog über die Situation berichtet und detailliert beschrieben, wie er den Fehler entdeckt hat und wie leicht ein böswilliger Angreifer die RCE-Schwachstelle ausnutzen könnte, um einen Man-in-the-Middle-Angriff (MITM) auf Ihr Netzwerk auszuführen. Trotz der Schwere dieses Fehlers und der Möglichkeit, dass er Millionen von Benutzern hätte betreffen können, hat AMD 124 Tage gebraucht, um ihn zu beheben – eine Tatsache, die Sie vielleicht im Hinterkopf behalten sollten, wenn Sie entscheiden, ob Intel oder AMD besser für Ihren nächsten Computer ist.
AMD hat Pauls Erkenntnisse anerkannt und auf der Grundlage seines Berichts sogar Maßnahmen ergriffen. Warum zahlen sie also nicht die Prämie? Obwohl Paul auf einen schwerwiegenden Fehler aufmerksam gemacht hat, heißt es in den Bedingungen des Kopfgeldprogramms, dass MITM-Angriffe nicht in den Geltungsbereich des Programms fallen. Der Bericht wurde geschlossen und um Salz in die Wunde zu streuen, wurde Paul gebeten, seinen ursprünglichen Blog-Beitrag zu diesem Thema auf unbestimmte Zeit zu entfernen.
Was der AMD-Fehler für Verbraucher bedeutet
Wie jedes Unternehmen hat auch AMD seine Höhen und Tiefen. Sie haben kürzlich einiges an Wohlwollen gewonnen, nachdem sie angekündigt hatten, dass ältere AMD-Grafikkarten bald ein großes kostenloses Upgrade erhalten würden. Allerdings wirft die Situation um Paul Fragen hinsichtlich der Rücksichtnahme von AMD auf seine Verbraucher und Community-Mitglieder auf. Die große Frage, die sich daraus ergibt, ist: Sollten Sie sich um die Sicherheit sorgen, wenn Ihr Computer AMD-Komponenten enthält?
Die gute Nachricht ist, dass AMD den von Paul hervorgehobenen AutoUpdate-Fehler behoben hat. AMD veröffentlichte am 12. Juni einen CVE-Bericht, der Einzelheiten zum Problem und den ergriffenen Maßnahmen enthält. Vor diesem Patch waren Benutzer 124 Tage lang potenziellen MITM-Angriffen ausgesetzt. Bei dieser Art von Angriff wird Code abgehört oder sogar direkt zwischen dem Ziel und der von ihm verwendeten Anwendung platziert. Dies wurde möglich, weil böswillige Parteien einen einfachen RCE durchführen konnten, um, wie Paul erklärt, „die Netzwerkantwort durch jede gewünschte bösartige ausführbare Datei zu ersetzen“.
Wenn Sie AMD-Produkte verwenden, die über eine automatische Update-Funktion verfügen, sind Sie möglicherweise immer noch von dem von Paul entdeckten AMD-Fehler betroffen. In Pauls erneut veröffentlichtem Blogbeitrag zur RCE-Sicherheitslücke empfiehlt er AMD-Benutzern, „alles zu deinstallieren“ und die neuesten Versionen der AMD-Software von der offiziellen Website herunterzuladen. Und natürlich sollten Sie immer Sicherheitsanwendungen verwenden, die Ihren Computer tatsächlich schützen.