ЛК увеличила награду за обнаружение уязвимостей в своих решениях

Александр Панасенко 14 Апреля 2017 - 17:27

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

...

ЛК увеличила награду за обнаружение уязвимостей в своих решениях

«Лаборатория Касперского» объявила о продлении и расширении программы bug bounty, которая была запущена в августе 2016 года совместно с международной платформой HackerOne. Кроме того, компания увеличила до 5 тысяч долларов размер вознаграждения за найденные уязвимости, связанные с возможностью удаленного выполнения кода.

Цель программы bug bounty — привлечь независимых экспертов к поиску критических ошибок в продуктах компании. Первый этап программы оказался успешным: за полгода было обнаружено и исправлено не менее 20 ошибок в коде.

Первоначально в программе участвовали флагманские решения «Лаборатории Касперского» для домашних и корпоративных пользователей — последние версии Kaspersky Internet Security для Windows и Kaspersky Endpoint Security для бизнеса. Теперь к списку исследуемых продуктов добавлен Kaspersky Password Manager 8 — менеджер паролей для компьютеров и мобильных устройств.

«Безопасность клиентов для нас важнее всего. Поэтому мы очень серьезно относимся к работе независимых исследователей, которые проверяют наши решения, и постоянно совершенствуем свои технологии. Благодаря программе bug bounty за последние полгода мы существенно оптимизировали процесс повышения устойчивости продуктов «Лаборатории Касперского» к действиям хакеров. Поэтому ее продление было логичным шагом, — рассказал Никита Швецов, директор по исследованиям и разработке «Лаборатории Касперского». — Мы высоко ценим энтузиазм, который проявляют эксперты по всему миру при поиске уязвимостей в наших продуктах, и в знак признания важности их работы мы увеличили вознаграждение за найденные ошибки. Более того, мы расширили список решений, включив в него еще один важный продукт компании».

«”Лаборатория Касперского” — отличный пример организации, которая во главу угла ставит максимальную безопасность на всех уровнях. Компания прекрасно осознает ответственность, которую несет перед клиентами — как частными пользователями, так и компаниями — и делает все, чтобы обнаруживать и устранять уязвимости до того, как ими воспользуются злоумышленники, — отметил Алекс Райс (Alex Rice), технический директор и сооснователь HackerOne. — Продлевая и расширяя программу bug bounty, «Лаборатория Касперского» показывает стремление как развивать глобальное сообщество IT-экспертов, так и поддерживать собственные лидерские позиции на рынке».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:13

Уязвимости программ Ошибки конфигурации программ Домашние пользователи Корпорации

Исследователь нашёл опасную дыру в автообновлении драйверов AMD

На дворе 2026 год: человечество обсуждает будущее с ИИ, роботы становятся всё более человекоподобными а функция автообновления драйверов AMD для Windows по-прежнему скачивает апдейты по небезопасному соединению. На это обратил внимание начинающий ИБ-специалист из Новой Зеландии, опубликовавший свой разбор в блоге.

Правда, вскоре пост был «временно удалён по запросу», что только подогрело интерес к истории.

По словам Пола, когда AMD Auto-Updater находит подходящее обновление, он загружает его по обычному HTTP. А значит, любой злоумышленник, находящийся в той же сети (или где-то по пути трафика), может подменить сайт AMD или изменить файл «на лету», встроив в драйвер шпионский софт или шифровальщик, который будет работать с правами администратора.

Исследователь утверждает, что сразу сообщил о проблеме AMD, но получил довольно формальный ответ: атаки типа «Человек посередине» якобы находятся «вне области ответственности». Судя по формулировкам, уязвимость, скорее всего, была отправлена через программу баг-баунти компании, соответственно, ни патча, ни награды Пол, вероятно, не увидит.

Формально представитель AMD может быть прав, но на практике планка для атаки выглядит пугающе низкой. Достаточно, например, подменить домен ati.com или перехватить трафик в публичной сети Wi-Fi (функция автообновления доверяет источнику безо всяких проверок и валидации). А учитывая, сколько устройств по всему миру используют видеокарты AMD, поверхность атаки измеряется миллионами компьютеров.

Ситуацию усугубляет и то, что непонятно, как давно обновления доставляются таким образом.

Обнаружил всё это Пол случайно — его насторожило внезапное появление консольного окна на новом игровом компьютере. Дальше, по его словам, он решил декомпилировал софт. В процессе выяснилось, что список обновлений действительно загружается по HTTPS, но сами драйверы скачиваются по HTTP, через странно названный URL с опечаткой — Devlpment.

Если описанное подтвердится, остаётся надеяться, что AMD всё-таки признает проблему, срочно переведёт загрузку драйверов на HTTPS и выплатит Полу заслуженное вознаграждение. Потому что в 2026 году такие ошибки выглядят уже не просто неловко, а откровенно опасно.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »