A kutató szerint az AMD elutasította jelentését, később pedig arra kérte, maradjon csendben
WTF?! Az AMD kijavított egy távoli kódfuttatást okozó sebezhetőséget az automatikus frissítő szoftverében, de ebben a történetben sokkal több is van. A céget rengeteg kritika éri azzal kapcsolatban, hogy hogyan bánt a tudósítóval. A Red Team először elvetette a hibát, mint „nem hatókört”, majd megkérte, hogy maradjon csendben, majd utólag módosította a szabályait, hogy a csendet kötelezővé tegye.
A sebezhetőséget MrBruh biztonsági kutató fedezte fel, miután az AMD frissítőkonzol ablaka folyamatosan megjelent az új játék PC-jén.
A szoftver visszafordítása során kiderült, hogy míg az AMD frissítője HTTPS-en keresztül húzta a frissítési listát, maguk a végrehajtható letöltési hivatkozások sima HTTP-t használtak. Ami még rosszabb, a frissítő láthatóan nem végzett tanúsítvány-ellenőrzést vagy valódi aláírás-ellenőrzést a letöltött fájl futtatása előtt.
Ez a sérülékenység ember a közepén támadást tesz lehetővé. Valaki ugyanazon a hálózaton, vagy abban a helyzetben, hogy megzavarja a kapcsolatot felfelé, potenciálisan lecserélheti az AMD frissítőfájlját egy rosszindulatú végrehajtható fájlra. Mivel a frissítő emelt szintű jogosultságokkal fut, az eredmény távoli kódfuttatás lehet.
Miután január 27-én felfedezte a problémát, MrBruh február 6-án jelentette a problémát az AMD-nek a bug bounty programon keresztül. A cég válasza az volt, hogy lezárta a jelentést, mert úgy ítélték meg, hogy „nem hatóköre”, mivel egy ember a középső támadást érintette, és opcionális eszközöket is érintett. Ez nem jelentett fejpénzt, annak ellenére, hogy a hiba később megkapta a CVE-2026-40677-et és a CVSS 4.0 7,7-es pontszámát. A teljes eljárás 124 napig tartott, az embargó június 9-én ért véget.
Miután MrBruh közzétette megállapításait, és a bejegyzés elterjedt a Hacker News-on, az AMD belső PSIRT-csapata ismét megjelent, és azt mondta, hogy a problémát még vizsgálják. A cég ezután arra kérte, hogy távolítsa el a posztot, amíg a javításon dolgozik, mondván, hogy a közzététel nem felel meg a program feltételeinek.
A Gamers Nexus szerint az AMD később megváltoztatta a hibadíjra vonatkozó szabályainak megfogalmazását, és kimondta, hogy a kutatók nem fedhetik fel a sebezhetőségre vonatkozó információkat az AMD írásos beleegyezése nélkül, még akkor sem, ha a jelentés nem jogosult a jutalomra, vagy a hatókörön kívül esik. Úgy tűnik, az AMD azzal vádolta MrBruh-t, hogy megszegte azt a szabályt, amelyet csak azután vezetett be, hogy megsértette azt.
Az AMD hivatalos közleménye immár elismeri a sérülékenységet, és MrBruh-t is elismeri. Az AMD Ryzen Master 2.14.3, az AMD µProf 5.3 és az AMD Management Console 14.0.0 mérsékelt verzióként szerepel. De a javítás továbbra is kérdéseket vet fel.
Az AMD elmondta a MrBruh-nak, hogy mostantól minden frissítési kommunikáció HTTPS-t használ, és a frissítések aláírás-ellenőrzésen esnek át. A kutató azt állítja, hogy igazolta a HTTPS-állítást, de csak egy CRC32-ellenőrzést talált a letöltött futtatható fájlon, ami nem tekinthető kriptográfiai aláírásnak.
MrBruh azt is mondja, hogy egy külön átirányítási hiba azt jelenti, hogy a frissítő nem tudja megfelelően frissíteni magát. Azt javasolja, hogy a felhasználók teljesen távolítsák el az AMD szoftverét, és ehelyett manuálisan töltsék le a legújabb verziókat a cég webhelyéről.