Recentemente, um pesquisador de segurança acusou a AMD de lidar indevidamente com as vulnerabilidades de segurança relatadas por ele. Não só demorou 124 dias para completar o patch, mas também modificou os termos do programa de recompensas por bugs posteriormente, usando isso como desculpa para se recusar a pagar-lhe o bônus de US$ 10.000 que ele deveria ter recebido, gerando dúvidas generalizadas na indústria.

Segundo relatos, o pesquisador de segurança com o nome online "MrBruh" frequentemente via a janela do console do programa de atualização da AMD aparecendo em seu PC para jogos recém-montado, então ele suspeitou do software de atualização automática e iniciou a engenharia reversa. Os resultados da análise mostram que, embora o programa de atualização da AMD obtenha a lista de atualização por meio do protocolo HTTPS, o link realmente usado para baixar o arquivo executável da atualização usa HTTP de texto simples e nenhuma verificação eficaz de certificado ou verificação de assinatura é realizada antes da execução. Isso significa que, desde que um invasor possa estar no mesmo ambiente de rede ou controlar o link upstream, há uma chance de substituir o arquivo de atualização da AMD por um programa executável malicioso por meio de um ataque man-in-the-middle, e o próprio programa de atualização é executado com privilégios elevados, o que pode levar a riscos de execução remota de código.

MrBruh descobriu a vulnerabilidade em 27 de janeiro e apresentou oficialmente o relatório por meio do programa de recompensas de bugs da AMD em 6 de fevereiro. A AMD posteriormente encerrou o relatório alegando que o problema estava "fora do escopo do plano" e que envolvia um cenário de ataque man-in-the-middle e afetava "ferramentas opcionais", portanto nenhuma recompensa seria emitida. No entanto, a vulnerabilidade foi oficialmente numerada como CVE-2026-40677 e recebeu uma pontuação CVSS 4.0 de 7,7, indicando que sua gravidade não é baixa. Todo o processo, desde o relatório até a correção e levantamento, durou 124 dias, com a proibição de divulgação terminando em 9 de junho.

Após a negação inicial da AMD, MrBruh publicou publicamente um artigo de análise técnica, que atraiu a atenção de comunidades como a Hacker News. À medida que a opinião pública fermentava, a equipe interna de resposta a incidentes de segurança de produto (PSIRT) da AMD entrou em contato com ele, dizendo que o problema ainda estava sob avaliação, e pediu-lhe que removesse temporariamente o artigo público, dizendo que seu comportamento de divulgação não parecia estar em conformidade com os termos relevantes do programa de recompensa de vulnerabilidade.

Uma investigação da mídia de hardware Gamers Nexus mostrou que a AMD posteriormente ajustou a redação das regras de seu programa de recompensa por vulnerabilidade. Os novos termos estipulam claramente que mesmo que um relatório de segurança seja considerado inelegível para recompensas ou não esteja dentro do escopo do programa, os pesquisadores não estão autorizados a publicar informações de vulnerabilidade sem o consentimento por escrito da AMD. Em outras palavras, a AMD foi acusada de primeiro negar a validade e a recompensa da vulnerabilidade sob as regras antigas, depois alterar as regras após o fato, e então se virar e acusar o pesquisador de violar uma cláusula que ainda não havia sido escrita na época.

Atualmente, a AMD reconheceu publicamente a existência desta vulnerabilidade em seu boletim oficial de segurança e assinou MrBruh no artigo. O anúncio afirmou que versões como AMD Ryzen Master 2.14.3, AMD µProf 5.3 e AMD Management Console 14.0.0 concluíram a mitigação. A AMD disse aos pesquisadores que todas as comunicações de atualização foram totalmente mudadas para HTTPS e um processo de verificação de assinatura foi adicionado ao processo de atualização. No entanto, MrBruh apontou após novo teste que, embora tenha confirmado o uso de HTTPS, ele encontrou apenas uma verificação CRC32 no arquivo executável baixado, o que não constitui verificação de assinatura criptográfica no sentido de segurança.

Além disso, o pesquisador também mencionou que há outra falha relacionada ao redirecionamento no programa de atualização que pode fazer com que seu próprio processo de atualização não prossiga normalmente. Com base nas questões acima, MrBruh recomenda que os usuários desinstalem completamente o software atual relacionado à AMD e baixem manualmente a versão mais recente diretamente do site oficial da AMD para reduzir riscos potenciais.

Este incidente não apenas expôs os riscos de segurança no design do mecanismo de atualização automática da AMD, mas também desencadeou uma discussão sobre como os grandes fabricantes tratam os grupos de pesquisa de segurança. Críticos do mundo exterior acreditam que desde a exclusão inicial do problema do programa de recompensa até a modificação posterior das regras para restringir a divulgação, o método de tratamento da AMD pode prejudicar a confiança da comunidade de segurança em seu sistema de divulgação de vulnerabilidades.