AMD heeft na maanden een kwetsbaarheid in de eigen updatesoftware verholpen die remote code execution via een man-in-the-middle (MITM)-aanval mogelijk maakt. De software maakte gebruik van HTTP voor het downloaden van bestanden. Hierdoor zou een aanvaller op het netwerk of die toegang tot de internetprovider heeft eenvoudig een MITM-aanval kunnen uitvoeren en malware onder gebruikers verspreiden.

Een Nieuw-Zeelandse programmeur met het alias MrBruh ontdekte het probleem en meldde dit op 6 februari bij het bugbountyplatform dat AMD gebruikt. Dezelfde dag liet het platform weten dat MITM-aanvallen niet onder het bugbountyprogramma vallen en de bugmelding werd gesloten. De programmeur publiceerde vervolgens een blogposting die veel reacties op Hacker News kreeg.

Een dag later liet AMD weten dat het probleem werd onderzocht en vroeg de programmeur om zijn blogposting offline te halen. Die ging hiermee akkoord, maar schrijft nu dat dit achteraf de verkeerde keuze was. AMD liet ook weten dat de onderzoeker geen beloning zou ontvangen. Wel zou er een update worden ontwikkeld en zou de programmeur als melder worden bedankt.

Uiteindelijk wist AMD na 124 dagen het updaten via HTTPS te laten lopen. "124 dagen om AMD zover te krijgen om een S aan een aantal HTTP url's te laten toevoegen", verzucht de programmeur op zijn eigen blog. AMD stelde ook dat voortaan de digitale handtekening van updates wordt gecontroleerd. Dat is volgens de programmeur niet waar. "Ze voeren alleen een CRC-32 check op het gedownloade bestand uit, wat niet cryptografisch veilig is."