6月13日消息,安全研究员Paul LaRosa(化名“MrBruh”)近日公开了与AMD长达124天的漏洞交涉过程。
他于今年2月发现AMD自动更新器存在远程代码执行漏洞,但AMD以“中间人攻击不在赏金范围内”为由,拒绝支付1万美元(约合人民币6.7万元)的漏洞赏金。
AMD随后要求他撤下相关博文,承诺发布CVE、修复软件并公开致谢,但明确表示“不给钱”。
漏洞核心在于AMD自动更新器通过不安全的HTTP协议下载驱动程序,且缺乏数字签名验证。
攻击者在同一网络内可拦截流量,将合法驱动替换为恶意程序,利用更新器的高权限实现远程代码执行,该漏洞被分配CVE-2026-40677,CVSS评分高达7.7。
最初Paul提议按照行业标准90天披露窗口期进行修复,但AMD以“多个工具受影响”为由多次要求延期。
AMD最终于6月9日完成修补,距离首次报告已过去124天。需要指出的是,修复方案几乎只是将下载链接中的“http”替换为“https”。
Paul事后验证,修复后的版本确实使用HTTPS加密下载,但文件完整性验证仍然仅依赖已过时的CRC32哈希校验,而非现代加密签名。
有Reddit用户指出该漏洞代码路径在实践中可能从未被实际调用,因为相关更新代码自身处于“无法更新自己”的损坏状态。
换句话说,用户即便不采取任何措施,也从未暴露于该风险下。如果真如此,AMD长达四个月的紧张修复更像是一场技术闹剧。
AMD在漏洞处理期间还悄然修改了漏洞赏金条款,新增“未经AMD书面同意不得披露漏洞信息”的规定。
AMD漏洞公告虽已确认问题并向Paul公开致谢,但Paul未收到任何经济补偿。
