Cercetătorul spune că AMD i-a respins raportul, apoi i-a cerut să tacă
WTF?! AMD a corectat o vulnerabilitate de execuție a codului de la distanță în software-ul său de actualizare automată, dar există mult mai mult în această poveste. Compania se confruntă cu o serie de critici cu privire la modul în care a tratat cercetătorul care a raportat-o. Team Red a respins mai întâi bug-ul ca fiind „în afara domeniului de aplicare”, apoi i-a cerut să rămână tăcut, apoi și-a schimbat regulile după fapt pentru a face din acea tăcere o cerință.
Vulnerabilitatea a fost descoperită de cercetătorul de securitate MrBruh după ce pe noul său computer de jocuri continuă să apară o fereastră de consolă de actualizare AMD.
Descompilarea software-ului a arătat că, în timp ce actualizatorul AMD și-a extras lista de actualizări prin HTTPS, linkurile de descărcare executabile în sine au folosit HTTP simplu. Și mai rău, actualizatorul aparent nu a efectuat nicio validare a certificatului sau o verificare reală a semnăturii înainte de a rula fișierul descărcat.
Această vulnerabilitate ar putea permite un atac de tip om-in-the-middle. Cineva din aceeași rețea sau aflat în situația de a interfera cu conexiunea în amonte, ar putea înlocui fișierul de actualizare al AMD cu un executabil rău intenționat. Deoarece actualizatorul rulează cu privilegii ridicate, rezultatul ar putea fi executarea de cod de la distanță.
După ce a descoperit-o pe 27 ianuarie, MrBruh a raportat problema lui AMD pe 6 februarie prin programul său de recompensă pentru erori. Răspunsul companiei a fost să închidă raportul, deoarece a fost considerat „în afara domeniului de aplicare”, deoarece a implicat un atac de tip „man-in-the-middle” și a afectat instrumente opționale. Asta nu a însemnat nicio recompensă, în ciuda faptului că bug-ul a primit ulterior CVE-2026-40677 și un scor CVSS 4.0 de 7,7. Procesul complet a durat 124 de zile, embargoul s-a încheiat pe 9 iunie.
După ce MrBruh și-a publicat concluziile și postarea a câștigat acțiune pe Hacker News, echipa internă PSIRT a AMD a reapărut pentru a spune că problema era încă în curs de revizuire. Compania i-a cerut apoi să retragă postarea în timp ce funcționează la o remediere, spunând că dezvăluirea nu pare să respecte termenii programului.
Potrivit Gamers Nexus, AMD a schimbat ulterior formularea regulilor sale de recompensă pentru erori pentru a afirma că cercetătorii nu trebuie să dezvăluie informații despre vulnerabilitate fără acordul scris al AMD, chiar dacă un raport este considerat neeligibil pentru o recompensă sau în afara domeniului de aplicare. Se pare că AMD l-a acuzat pe MrBruh că a încălcat o regulă pe care a introdus-o doar după ce a încălcat-o.
Buletinul oficial al AMD recunoaște acum vulnerabilitatea și îl merită pe MrBruh. Listează AMD Ryzen Master 2.14.3, AMD µProf 5.3 și AMD Management Console 14.0.0 ca versiuni atenuate. Dar patch-ul ridică în continuare întrebări.
AMD i-a spus lui MrBruh că toate comunicările de actualizare folosesc acum HTTPS și că actualizările sunt supuse verificării semnăturii. Cercetătorul spune că a verificat afirmația HTTPS, dar a găsit doar o verificare CRC32 pe executabilul descărcat, care nu este considerată o semnătură criptografică.
MrBruh mai spune că o eroare de redirecționare separată înseamnă că actualizatorul ar putea să nu se poată actualiza corect. El recomandă utilizatorilor să dezinstaleze complet software-ul AMD și să descarce manual cele mai recente versiuni de pe site-ul companiei.
