Onlangs beschuldigde een beveiligingsonderzoeker AMD van onjuiste omgang met door hem gemelde beveiligingskwetsbaarheden. Het duurde niet alleen 124 dagen om de patch te voltooien, maar wijzigde daarna ook de voorwaarden van het bugbounty-programma, waarbij dit als excuus werd gebruikt om te weigeren hem de bonus van $ 10.000 te betalen die hij had moeten ontvangen, wat leidde tot wijdverbreide twijfels in de branche.
Volgens rapporten zag de beveiligingsonderzoeker met de online naam "MrBruh" regelmatig het consolevenster van het AMD-updateprogramma verschijnen op zijn nieuw samengestelde gaming-pc, dus hij werd wantrouwend tegenover de automatische updatesoftware en begon met reverse engineering. De analyseresultaten laten zien dat hoewel het AMD-updateprogramma de updatelijst verkrijgt via het HTTPS-protocol, de link die daadwerkelijk wordt gebruikt om het uitvoerbare updatebestand te downloaden gebruikmaakt van platte tekst HTTP, en dat er geen effectieve certificaatverificatie of handtekeningverificatie wordt uitgevoerd vóór uitvoering. Dit betekent dat zolang een aanvaller zich in dezelfde netwerkomgeving kan bevinden of de upstream-link kan controleren, er een kans bestaat om het updatebestand van AMD te vervangen door een kwaadaardig uitvoerbaar programma via een man-in-the-middle-aanval, en het updateprogramma zelf draait met hoge rechten, wat kan leiden tot risico's voor het uitvoeren van externe code.
MrBruh ontdekte de kwetsbaarheid op 27 januari en diende het rapport officieel in via AMD's bugbounty-programma op 6 februari. AMD sloot het rapport later af op grond van het feit dat het probleem "buiten de reikwijdte van het plan" viel en dat het een man-in-the-middle-aanvalsscenario betrof en "optionele tools" beïnvloedde, zodat er geen premie zou worden uitgegeven. De kwetsbaarheid heeft sindsdien echter officieel het nummer CVE-2026-40677 gekregen en heeft een CVSS 4.0-score van 7,7 gekregen, wat aangeeft dat de ernst ervan niet laag is. Het hele proces, van rapportage tot patchen en opheffen, duurde 124 dagen, waarbij het openbaarmakingsverbod op 9 juni eindigde.
Na de aanvankelijke ontkenning van AMD publiceerde MrBruh publiekelijk een artikel over technische analyse, dat de aandacht trok van gemeenschappen zoals Hacker News. Terwijl de publieke opinie verzuurde, nam AMD's interne Product Security Incident Response Team (PSIRT) opnieuw contact met hem op en zei dat het probleem nog steeds werd geëvalueerd, en vroeg hem om het openbare artikel tijdelijk te verwijderen, waarbij hij zei dat zijn openbaarmakingsgedrag niet leek te voldoen aan de relevante voorwaarden van het beloningsprogramma voor kwetsbaarheden.
Uit onderzoek van hardwaremedia Gamers Nexus bleek dat AMD vervolgens de formulering van de regels van haar kwetsbaarheidsbeloningsprogramma heeft aangepast. De nieuwe voorwaarden bepalen duidelijk dat zelfs als wordt vastgesteld dat een beveiligingsrapport niet in aanmerking komt voor beloningen of niet binnen de reikwijdte van het programma valt, onderzoekers geen informatie over kwetsbaarheden mogen publiceren zonder de schriftelijke toestemming van AMD. Met andere woorden, AMD werd ervan beschuldigd eerst de geldigheid en premie van de kwetsbaarheid onder de oude regels te ontkennen, vervolgens de regels achteraf te wijzigen, en zich vervolgens om te draaien en de onderzoeker te beschuldigen van het overtreden van een clausule die op dat moment nog niet was geschreven.
Momenteel heeft AMD het bestaan van deze kwetsbaarheid publiekelijk erkend in haar officiële beveiligingsbulletin, en de heerBruh een handtekening in het artikel gegeven. In de aankondiging stond dat versies zoals AMD Ryzen Master 2.14.3, AMD µProf 5.3 en AMD Management Console 14.0.0 de mitigatie hebben voltooid. AMD vertelde onderzoekers dat alle updatecommunicatie nu volledig is overgeschakeld naar HTTPS en dat er een handtekeningverificatieproces aan het updateproces is toegevoegd. De heer Bruh wees er echter na opnieuw testen op dat hij, hoewel hij het gebruik van HTTPS bevestigde, alleen een CRC32-controle op het gedownloade uitvoerbare bestand vond, wat in veiligheids opzicht geen cryptografische handtekeningverificatie inhoudt.
Daarnaast vermeldde de onderzoeker ook dat er nog een omleidingsgerelateerde fout in het updateprogramma zit, die ertoe kan leiden dat het eigen updateproces niet normaal verloopt. Op basis van de bovenstaande problemen raadt MrBruh gebruikers aan om de huidige AMD-gerelateerde software volledig te verwijderen en de nieuwste versie handmatig rechtstreeks van de officiële AMD-website te downloaden om potentiële risico's te verminderen.
Dit incident bracht niet alleen de veiligheidsrisico's in het ontwerp van het automatische updatemechanisme van AMD aan het licht, maar veroorzaakte ook een discussie over hoe grote fabrikanten omgaan met beveiligingsonderzoeksgroepen. Critici uit de buitenwereld zijn van mening dat de manier waarop AMD omgaat met het in eerste instantie uitsluiten van het probleem van het beloningsprogramma en het later wijzigen van de regels om openbaarmaking te beperken, het vertrouwen van de beveiligingsgemeenschap in haar systeem voor het openbaar maken van kwetsbaarheden kan schaden.