Kibertəhlükəsizlik sahəsində fəaliyyət göstərən tədqiqatçı Pol, "AMD"-nin proqram təminatının yenilənməsi sistemində kritik bir boşluq aşkar edib. Bu boşluq "insan ortada" (man-in-the-middle) tipli hücumlar həyata keçirməyə və uzaqdan kod icra etməyə imkan verirdi. Mütəxəssis bu barədə şirkətə rəsmi hesabat göndərərək mükafat proqramı çərçivəsində ödəniş tələb edib, lakin "AMD" bu növ hücumların onların siyasətinə daxil olmadığını əsas gətirərək ödənişdən imtina edib.
Təmir prosesi niyə 124 gün çəkdi?
"AMD" tədqiqatçıdan məsələnin ictimailəşməməsini xahiş edib və problemi həll edəcəyinə söz verib. İlkin olaraq 90 günlük müddət nəzərdə tutulsa da, şirkət problemin digər alətlərə də təsir etdiyini bildirərək əlavə vaxt tələb edib. Nəticədə, yenilənmə ancaq 9 iyun tarixində, yəni boşluğun aşkar edilməsindən 124 gün sonra istifadəyə verilib.
Təhlükəsizlik tədbirləri nə qədər effektivdir?
- "AMD" yükləmə kodunu yenidən işləyərək sürücülərin təhlükəsiz rejimdə yüklənməsini təmin edib.
- Tədqiqatçı Pol qeyd edib ki, faylın həqiqiliyini yoxlamaq üçün istifadə olunan CRC32 alqoritmi artıq kriptoqrafik cəhətdən təhlükəsiz hesab edilmir.
- "Reddit" istifadəçilərinin məlumatına görə, sözügedən boşluğun istismarı praktikada çətin idi, çünki müvafiq kod fraqmenti əslində işlək vəziyyətdə deyildi.
