AMD verweigert Forscher 10.000-Dollar-Bounty trotz kritischer Auto-Update-Schwachstelle, die 124 Tage unbehoben blieb
Link kopieren Facebook X WhatsApp Reddit Pinterest Flipboard E-Mail Diesen Artikel 0 In den Dialog einsteigen Sie uns Fügen Sie uns als bevorzugte Quelle bei Google hinzu Newsletter Abonnieren Sie unseren Newsletter AMD hat einem Sicherheitsforscher trotz dessen Arbeit und Zusammenarbeit mit dem Unternehmen eine Bug-Bounty von 10.000 USD verweigert.
Kurzfassung
Warum das wichtig ist
- Link kopieren Facebook X WhatsApp Reddit Pinterest Flipboard E-Mail Diesen Artikel 0 In den Dialog einsteigen Sie uns Fügen Sie uns als bevorzugte Quelle bei Google hinzu Newsletter Abonnieren Sie unseren Newsletter AMD hat einem Sicherheitsforscher trotz dessen Arbeit und Zusammenarbeit mit dem Unternehmen eine Bug-Bounty von 10.000 USD verweigert.
- Regelmäßige Besucher dieses Blogs könnten sich an einen früheren Artikel erinnern, in dem ein Sicherheitsforscher ein potenzielles Remote-Code-Execution-Risiko (RCE) über einen Man-in-the-Middle-Angriff (MITM) in der automatischen Aktualisierungssoftware Forscher Paul reichte einen Bericht über das Bug-Bounty-Programm sowohl eine Behebung als auch eine Auszahlung für einen RCE-Schwachstellenfall.
- Der Bericht wurde jedoch abgelehnt, da MITM-Angriffe nicht im Rahmen der Programmrichtlinien abgedeckt sind.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Zunächst die guten Nachrichten: Der Updater scheint nun gesichert zu sein, und wer die neueste Version des Softwarepakets ädt, sollte eine bereinigte Version erhalten.
Warum relevant
Der Weg dorthin war jedoch alles andere als geradlinig, und bis heute hat Paul für seine Bemühungen anscheinend keinen Cent erhalten – eine Geschichte, die angesichts der Probleme immer häufiger wird.
Einordnung
SvyTech ordnet die Meldung aus Tom's Hardware als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Zunächst die guten Nachrichten: Der Updater scheint nun gesichert zu sein, und wer die neueste Version des Softwarepakets ädt, sollte eine bereinigte Version erhalten.
Der Weg dorthin war jedoch alles andere als geradlinig, und bis heute hat Paul für seine Bemühungen anscheinend keinen Cent erhalten – eine Geschichte, die angesichts der Probleme immer häufiger wird. Hätte AMD die Bedeutung des Problems voll anerkannt, wäre ein Remote-Code-Execution (RCE)-Fehler sonst mit 10.000 US-Dollar belohnt worden.
Der aktualisierte Beitrag enthält die vollständige Geschichte, und diese lautet wie folgt: Im Februar, als AMD Paul bat, den Blogbeitrag vorübergehend zu entfernen, versprach das Unternehmen, eine standardmäßige CVE auszugeben, den Softwarefehler zu beheben und die Entdeckung Paul zuzuschreiben, wobei eine Prämienzahlung jedoch aussichtslos war.
Paul stimmte zu (eine Entscheidung, die
Paul stimmte zu (eine Entscheidung, die er nun bereut), fragte jedoch nach dem Zeitplan branchenübliche Fenster von vor, bis er die öffentliche Offenlegung erneut veröffentlichen würde.
AMD antwortete, dass es „wahrscheinlich einen längeren Embargozeitraum benötige, da zusätzliche Werkzeuge über Ryzen Master hinaus scheinbar ebenfalls betroffen sind und Freigaben erfordern." Diese Aussage ist aus mehreren Gründen bemerkenswert: Erstens wirft sie die Frage auf, warum AMD so lange benötigt, um zu veröffentlichen, was anscheinend eine einzeilige Korrektur darstellt, bei der im Code „http" durch „https" ersetzt wird.
Zweitens, wenn das Problem schwerwiegend genug war, so lange zu lösen, dann wäre Pauls Arbeit zweifellos einer gewissen Entschädigung würdig. Drittens, wie Paul bereits anmerkte: Wenn dieses Problem so dringlich wirkte, warum wurde ihm dann keine höhere Priorität eingeräumt?
Technik und Auswirkungen
Trotzdem einigte er sich schließlich auf einen Zeitraum von und fragte AMD kurz vor Ablauf der Frist nach „was geht?", bevor er erneut um mehr Zeit gebeten wurde, da ihm mitgeteilt wurde, dass „mehrere Tools vom Fehler betroffen sind" und „Kunden ätzliche Zeit verlangen, sobald die Behebungen verfügbar sind".
Schließlich meldete sich AMD und teilte mit, dass eine Lösung bis zum 9. Juni bereitstehen werde, was nach dem ersten Auffinden des Fehlers entspricht.
Quelllink
Originalquelle: Tom's Hardware
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Tom's Hardware
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
Microsoft Outlook und Word: Sicherheitslücken ermöglichen Angreifern die Ausführung von Schadcode
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Festkörperbatterie für E-Autos: Laden zu 90 Prozent in 18 Minuten geht in die Testphase
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Tom's Hardware
- Originaltitel
- AMD denies researcher a $10,000 bug bounty after fixing critical auto-updater vulnerability — security flaw took 124 days to patch
- Canonical
- https://www.tomshardware.com/tech-industry/cyber-security/amd-denies-researcher-a-usd10-000-bug-bounty-after-fixing-critical-auto-updater-vulnerability-security-flaw-took-124-days-to-patch
- Quell-URL
- https://www.tomshardware.com/tech-industry/cyber-security/amd-denies-researcher-a-usd10-000-bug-bounty-after-fixing-critical-auto-updater-vulnerability-security-flaw-took-124-days-to-patch
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Microsoft Outlook und Word: Sicherheitslücken ermöglichen Angreifern die Ausführung von Schadcode
Microsoft hat kritische Patches für drei eng miteinander verbundene Schwachstellen zur Ausführung (RCE) Microsoft Outlook und Word veröffentlicht, die auf Speicher-Sicherheitsmängern auf niedriger Eben
12.06.2026
Live Redaktion
Festkörperbatterie für E-Autos: Laden zu 90 Prozent in 18 Minuten geht in die Testphase
Stellantis hat die Festkörperbatteriezellen Entwicklungsfahrzeug des Dodge Charger Daytona integriert und die Technologie nun auf der Straße getestet.
12.06.2026
Live Redaktion
Apple plant Aluminium-Recycling aus CNC-Spänen für iPhone und MacBook Neo bei nur 125 Grad Celsius
Apple sammelt allmählich ein legendäres Patentportfolio Bereich der Materialwissenschaften an.
12.06.2026
Live Redaktion
Microsoft Teams auf Android: Sicherheitslücke ermöglicht Datenabgriff
Microsoft hat eine erhebliche Sicherheitslücke Microsoft Teams für Android offengelegt, die es einem authentifizierten Angreifer ermöglichen könnte, vertrauliche Informationen über ein Netzwerk preiszugeben.
12.06.2026
Live Redaktion