浙江
近日,一名安全研究員指責AMD在處理其上報的安全漏洞時做法不當,不僅用時124天才完成修補,還在事后修改漏洞獎勵計劃條款,以此為由拒絕向其支付原本應當獲得的一萬美元獎金,引發業界廣泛質疑。
據報道,這名網名為“MrBruh”的安全研究員在自己新組裝的游戲PC上頻繁看到AMD更新程序控制臺窗口彈出,因而對該自動更新軟件產生懷疑,并著手進行逆向分析。 分析結果顯示,雖然AMD更新程序會通過HTTPS協議獲取更新列表,但真正用于下載更新可執行文件的鏈接卻使用了明文HTTP,且在執行前并未進行有效的證書驗證或簽名校驗。 這意味著,只要有攻擊者能位于同一網絡環境或控制上游鏈路,就有機會通過中間人攻擊將AMD的更新文件替換為惡意可執行程序,而更新程序本身擁有高權限運行,從而可能導致遠程代碼執行風險。
MrBruh于1月27日發現漏洞,并在2月6日通過AMD的漏洞獎勵計劃正式提交報告。 AMD方面隨后卻以該問題屬于“計劃范圍之外”為由關閉了報告,理由是這涉及中間人攻擊場景且影響的是“可選工具”,因此不予發放獎金。 然而,此后該漏洞被正式編號為CVE-2026-40677,并獲得CVSS 4.0 7.7分的評分,表明其嚴重程度并不低。 從報告到修補和解禁的全過程持續了124天,披露禁令于6月9日結束。
在AMD初步否定之后,MrBruh公開發表了技術分析文章,引發Hacker News等社區關注。 隨著輿論發酵,AMD內部的產品安全事件響應團隊(PSIRT)重新與他取得聯系,表示問題仍在評估中,并要求其暫時下架公開文章,稱其披露行為似乎不符合漏洞獎勵計劃的相關條款。
硬件媒體Gamers Nexus的調查顯示,AMD隨后對其漏洞獎勵計劃的規則措辭進行了調整,新條款明確規定:即便某一安全報告被認定為不符合獎勵條件或不在計劃范圍內,研究員也不得在未取得AMD書面同意的情況下公布漏洞信息。 換言之,AMD被指控是先以舊規則拒絕漏洞有效性和獎金,再在事后修改規則,并回過頭來指責研究員違反了一條當時尚未寫入的條款。
目前,AMD在其官方安全公告中已公開承認這一漏洞的存在,并在文中對MrBruh給予了署名致謝。 公告稱,AMD Ryzen Master 2.14.3、AMD μProf 5.3以及 AMD Management Console 14.0.0 等版本已經完成緩解。 AMD對研究員表示,現在所有更新通信已全面改用HTTPS,并在更新過程中加入簽名驗證流程。 不過,MrBruh在復測后指出,他雖確認了HTTPS的使用,但在下載的可執行文件上僅發現了CRC32校驗,而這并不構成安全意義上的加密簽名驗證。
此外,研究員還提到,更新程序中另有一處重定向相關的缺陷,可能導致其自身更新過程無法正常進行。 基于以上問題,MrBruh建議用戶徹底卸載當前AMD相關軟件,并直接從AMD官網手動下載最新版本,以降低潛在風險。
這起事件不僅暴露出AMD在自動更新機制設計上的安全隱患,也引發了關于大型廠商如何對待安全研究群體的討論。 外界批評認為,從最初將問題排除在獎勵計劃之外,到事后修改規則限制披露,AMD的處置方式可能損害安全社區對其漏洞披露體系的信任。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
