Разработчик нашел способ перехвата данных в процессе обновления ПО AMD, что открывало путь к выполнению произвольного кода на устройствах пользователей. В рамках программы Bug Bounty он отправил подробный отчет, ожидая стандартной выплаты за уязвимость уровня RCE. В компании заявку отклонили, аргументировав отказ тем, что подобные сценарии MITM формально не подпадают под критерии их политики выплат.
Процесс устранения бага растянулся на 124 дня. Исследователь неоднократно сталкивался с задержками и переносами сроков, пока инженеры расширяли область затронутых компонентов. Вопреки соблюдению условий эмбарго и временному удалению публикации об ошибке, автор отчета не получил никакой финансовой компенсации за проделанную работу. Сама уязвимость в итоге была исправлена, но конфликт вокруг условий выплат остался неразрешенным.
Комментарии (0)
Пока нет комментариев. Будьте первым!