Recientemente, un investigador de seguridad acusó a AMD de manejar inadecuadamente las vulnerabilidades de seguridad reportadas por él. No solo tomó 124 días completar el parche, sino que también modificó los términos del programa de recompensas por errores, utilizando esto como excusa para negarse a pagarle el bono de 10.000 dólares que debería haber recibido, lo que generó dudas generalizadas en la industria.
Según los informes, el investigador de seguridad con el nombre en línea "MrBruh" veía con frecuencia aparecer la ventana de la consola del programa de actualización de AMD en su PC para juegos recién ensamblada, por lo que sospechó del software de actualización automática y comenzó a realizar ingeniería inversa. Los resultados del análisis muestran que, aunque el programa de actualización de AMD obtiene la lista de actualizaciones a través del protocolo HTTPS, el enlace realmente utilizado para descargar el archivo ejecutable de actualización utiliza HTTP de texto sin formato y no se realiza ninguna verificación efectiva del certificado o de la firma antes de la ejecución. Esto significa que siempre que un atacante pueda estar en el mismo entorno de red o controlar el enlace ascendente, existe la posibilidad de reemplazar el archivo de actualización de AMD con un programa ejecutable malicioso mediante un ataque de intermediario, y el programa de actualización en sí se ejecuta con altos privilegios, lo que puede generar riesgos de ejecución remota de código.
MrBruh descubrió la vulnerabilidad el 27 de enero y presentó oficialmente el informe a través del programa de recompensas por errores de AMD el 6 de febrero. Posteriormente, AMD cerró el informe alegando que el problema estaba "fuera del alcance del plan" y que involucraba un escenario de ataque de intermediario y afectaba a "herramientas opcionales", por lo que no se emitiría ninguna recompensa. Sin embargo, desde entonces la vulnerabilidad recibió el número oficial CVE-2026-40677 y recibió una puntuación CVSS 4.0 de 7,7, lo que indica que su gravedad no es baja. Todo el proceso, desde la presentación de informes hasta la aplicación de parches y el levantamiento, duró 124 días y la prohibición de divulgación finalizó el 9 de junio.
Después de la negativa inicial de AMD, MrBruh publicó públicamente un artículo de análisis técnico, que atrajo la atención de comunidades como Hacker News. A medida que la opinión pública fermentaba, el Equipo interno de respuesta a incidentes de seguridad de productos (PSIRT) de AMD volvió a ponerse en contacto con él, diciendo que el problema aún estaba bajo evaluación y le pidió que eliminara temporalmente el artículo público, diciendo que su comportamiento de divulgación no parecía cumplir con los términos relevantes del programa de recompensa de vulnerabilidad.
Una investigación del medio de hardware Gamers Nexus demostró que AMD posteriormente ajustó la redacción de las reglas de su programa de recompensa por vulnerabilidades. Los nuevos términos estipulan claramente que incluso si se determina que un informe de seguridad no es elegible para recibir recompensas o no está dentro del alcance del programa, los investigadores no pueden publicar información sobre vulnerabilidades sin el consentimiento por escrito de AMD. En otras palabras, AMD fue acusada de primero negar la validez y la recompensa de la vulnerabilidad según las reglas antiguas, luego cambiar las reglas después del hecho, y luego se dio la vuelta y acusó al investigador de violar una cláusula que aún no se había escrito en ese momento.
Actualmente, AMD ha reconocido públicamente la existencia de esta vulnerabilidad en su boletín de seguridad oficial y ha firmado el artículo con MrBruh. El anuncio indicó que versiones como AMD Ryzen Master 2.14.3, AMD µProf 5.3 y AMD Management Console 14.0.0 han completado la mitigación. AMD dijo a los investigadores que todas las comunicaciones de actualización ahora se cambiaron completamente a HTTPS y se agregó un proceso de verificación de firma al proceso de actualización. Sin embargo, MrBruh señaló después de volver a realizar la prueba que, aunque confirmó el uso de HTTPS, solo encontró una verificación CRC32 en el archivo ejecutable descargado, lo que no constituye una verificación de firma criptográfica en un sentido de seguridad.
Además, el investigador también mencionó que existe otra falla relacionada con la redirección en el programa de actualización que puede causar que su propio proceso de actualización no se desarrolle normalmente. Según los problemas anteriores, MrBruh recomienda a los usuarios desinstalar completamente el software actual relacionado con AMD y descargar manualmente la última versión directamente desde el sitio web oficial de AMD para reducir los riesgos potenciales.
Este incidente no solo expuso los riesgos de seguridad en el diseño del mecanismo de actualización automática de AMD, sino que también desencadenó una discusión sobre cómo los grandes fabricantes tratan a los grupos de investigación de seguridad. Los críticos del mundo exterior creen que desde la exclusión inicial del problema del programa de recompensas hasta la posterior modificación de las reglas para restringir la divulgación, el método de manejo de AMD puede dañar la confianza de la comunidad de seguridad en su sistema de divulgación de vulnerabilidades.