El investigador de seguridad Paul LaRosa descubrió que el actualizador automático de AMD para Windows descargaba software a través de conexiones HTTP no cifradas, lo que permitía a atacantes en la red realizar un ataque de intermediario (man-in-the-middle) e inyectar código malicioso durante las actualizaciones. LaRosa reportó la vulnerabilidad crítica de ejecución remota de código a AMD esperando una recompensa de 10.000 dólares según su programa de bug bounty. AMD confirmó el fallo pero rechazó el pago argumentando exclusiones de política para ataques de intermediario. La empresa pidió a LaRosa retrasar la divulgación pública en febrero, prometiendo una solución en 90 días, pero finalmente tardó 124 días en lanzar el parche. Además, la corrección reemplazó las descargas HTTP por cifradas, pero sigue usando CRC32 para validar archivos, un checksum considerado inseguro frente a criptografía moderna. El caso expone cómo grandes fabricantes gestionan las vulnerabilidades: priorizan soluciones rápidas, evitan pagar recompensas mediante lagunas en sus políticas y dejan debilidades subyacentes sin resolver.
Noticias agregadas con IA