Kürzlich warf ein Sicherheitsforscher AMD einen unsachgemäßen Umgang mit den von ihm gemeldeten Sicherheitslücken vor. Die Fertigstellung des Patches dauerte nicht nur 124 Tage, sondern änderte im Nachhinein auch die Bedingungen des Bug-Bounty-Programms und nutzte dies als Vorwand, um sich zu weigern, ihm den Bonus von 10.000 US-Dollar zu zahlen, den er hätte erhalten sollen, was in der Branche weit verbreitete Zweifel auslöste.

Berichten zufolge sah der Sicherheitsforscher mit dem Online-Namen „MrBruh“ häufig das Konsolenfenster des AMD-Update-Programms auf seinem neu zusammengebauten Gaming-PC auftauchen, sodass er misstrauisch gegenüber der automatischen Update-Software wurde und mit dem Reverse Engineering begann. Die Analyseergebnisse zeigen, dass das AMD-Aktualisierungsprogramm zwar die Aktualisierungsliste über das HTTPS-Protokoll erhält, der Link, der tatsächlich zum Herunterladen der ausführbaren Aktualisierungsdatei verwendet wird, jedoch Klartext-HTTP verwendet und vor der Ausführung keine wirksame Zertifikatsüberprüfung oder Signaturüberprüfung durchgeführt wird. Das bedeutet, dass, solange sich ein Angreifer in derselben Netzwerkumgebung befinden oder die Upstream-Verbindung kontrollieren kann, die Möglichkeit besteht, die Update-Datei von AMD durch ein bösartiges ausführbares Programm durch einen Man-in-the-Middle-Angriff zu ersetzen, und das Update-Programm selbst mit hohen Privilegien ausgeführt wird, was zu Risiken bei der Remote-Codeausführung führen kann.

MrBruh entdeckte die Schwachstelle am 27. Januar und reichte den Bericht am 6. Februar offiziell über das Bug-Bounty-Programm von AMD ein. AMD schloss den Bericht später mit der Begründung ab, dass das Problem „außerhalb des Rahmens des Plans“ liege und dass es sich um ein Man-in-the-Middle-Angriffsszenario handele und „optionale Tools“ beeinträchtige, sodass kein Kopfgeld ausgegeben werde. Allerdings trägt die Schwachstelle inzwischen offiziell die Nummer CVE-2026-40677 und erhielt einen CVSS 4.0-Score von 7,7, was darauf hinweist, dass ihr Schweregrad nicht gering ist. Der gesamte Prozess von der Meldung bis zum Patchen und Aufheben dauerte 124 Tage, wobei das Offenlegungsverbot am 9. Juni endete.

Nach der anfänglichen Ablehnung durch AMD veröffentlichte MrBruh öffentlich einen technischen Analyseartikel, der die Aufmerksamkeit von Communities wie Hacker News auf sich zog. Als die öffentliche Meinung schwankte, nahm das interne Product Security Incident Response Team (PSIRT) von AMD erneut Kontakt mit ihm auf und teilte ihm mit, dass das Problem noch in der Evaluierung sei.

Eine Untersuchung des Hardware-Mediums Gamers Nexus ergab, dass AMD daraufhin den Wortlaut der Regeln seines Schwachstellen-Belohnungsprogramms angepasst hat. Die neuen Bedingungen legen eindeutig fest, dass es Forschern nicht gestattet ist, Informationen zu Sicherheitslücken ohne die schriftliche Zustimmung von AMD zu veröffentlichen, selbst wenn festgestellt wird, dass ein Sicherheitsbericht nicht für Prämien in Frage kommt oder nicht im Rahmen des Programms liegt. Mit anderen Worten: AMD wurde vorgeworfen, zunächst die Gültigkeit und das Kopfgeld der Schwachstelle nach den alten Regeln geleugnet zu haben, dann die Regeln im Nachhinein geändert zu haben und sich dann umzudrehen und dem Forscher vorzuwerfen, gegen eine Klausel verstoßen zu haben, die zu diesem Zeitpunkt noch nicht geschrieben worden war.

Derzeit hat AMD die Existenz dieser Sicherheitslücke in seinem offiziellen Sicherheitsbulletin öffentlich anerkannt und Herrn Bruh eine Unterschrift in dem Artikel gegeben. In der Ankündigung hieß es, dass bei Versionen wie AMD Ryzen Master 2.14.3, AMD µProf 5.3 und AMD Management Console 14.0.0 die Schadensbegrenzung abgeschlossen sei. AMD teilte den Forschern mit, dass die gesamte Update-Kommunikation nun vollständig auf HTTPS umgestellt wurde und dem Update-Prozess ein Signaturüberprüfungsprozess hinzugefügt wurde. Herr Bruh wies jedoch nach einem erneuten Test darauf hin, dass er zwar die Verwendung von HTTPS bestätigte, aber nur eine CRC32-Prüfung in der heruntergeladenen ausführbaren Datei gefunden habe, was keine Überprüfung der kryptografischen Signatur im Sinne der Sicherheit darstelle.

Darüber hinaus erwähnte der Forscher auch, dass es im Update-Programm einen weiteren umleitungsbezogenen Fehler gibt, der dazu führen kann, dass der eigene Update-Prozess nicht normal abläuft. Aufgrund der oben genannten Probleme empfiehlt MrBruh Benutzern, die aktuelle AMD-bezogene Software vollständig zu deinstallieren und die neueste Version manuell direkt von der offiziellen AMD-Website herunterzuladen, um potenzielle Risiken zu reduzieren.

Dieser Vorfall enthüllte nicht nur die Sicherheitsrisiken im Design des automatischen Update-Mechanismus von AMD, sondern löste auch eine Diskussion darüber aus, wie große Hersteller mit Sicherheitsforschungsgruppen umgehen. Kritiker aus der Außenwelt glauben, dass AMDs Handhabungsmethode vom anfänglichen Ausschluss des Problems aus dem Belohnungsprogramm bis zur späteren Änderung der Regeln zur Einschränkung der Offenlegung das Vertrauen der Sicherheitsgemeinschaft in sein System zur Offenlegung von Schwachstellen schädigen könnte.