Vulnerabilidad crítica de ejecución remota en software de AMD no se parcheó durante meses

Un investigador de seguridad descubrió una vulnerabilidad de ejecución remota de código (RCE) en el software AMD AutoUpdate, que permite a un atacante en la red reemplazar actualizaciones legítimas por malware. El fallo radica en que el programa descarga los ejecutables mediante HTTP en lugar de HTTPS y no verifica la firma digital. AMD inicialmente rechazó el reporte alegando que los ataques man-in-the-middle estaban fuera del alcance de su programa de recompensas por errores. Sin embargo, tras la difusión del caso en Hacker News, el equipo de seguridad interno de AMD contactó al investigador, le pidió retirar la publicación y prometió un parche. El investigador aceptó un embargo de divulgación que se extendió 124 días, durante los cuales AMD no comunicó avances hasta último momento. La solución finalmente implementada eliminó la función de actualización automática en Ryzen Master y migró las comunicaciones a HTTPS, aunque la verificación de integridad se limita a un CRC-32, insuficiente frente a firmas criptográficas. Irónicamente, el actualizador estaba previamente roto por un error de redireccionamiento, lo que impedía explotar la vulnerabilidad pero también aplicar cualquier parche. El investigador recomienda desinstalar por completo el software de AMD y descargar versiones recientes desde el sitio web oficial. AMD asignó un CVE al fallo pero no pagó recompensa.