AMD corrige falha crítica após 124 dias, mas nega recompensa de US$ 10 mil a pesquisador de segurança
Uma falha crítica da AMD no atualizador automático foi finalmente corrigida, 124 dias depois de reportada. O desfecho, porém, deixou um gosto amargo na comunidade de segurança da…
Uma falha crítica da AMD no atualizador automático foi finalmente corrigida, 124 dias depois de reportada.
O desfecho, porém, deixou um gosto amargo na comunidade de segurança da informação: o pesquisador responsável pela descoberta, conhecido como MrBruh, não recebeu a recompensa de US$ 10 mil, cerca de R$ 51,7 mil, prevista para bugs dessa classe no programa de bug bounty da companhia.
A brecha foi descoberta em 27 de janeiro, quando uma janela de console do atualizador da AMD passou a aparecer no PC gamer recém-montado do pesquisador. Ao descompilar o software, ele percebeu que a lista de atualizações era baixada via HTTPS, mas os links dos executáveis em si usavam HTTP puro, sem criptografia.
Pior: o programa não fazia validação de certificado nem checagem real de assinatura antes de executar o arquivo baixado. Como o atualizador roda com privilégios elevados, o resultado possível era execução remota de código, o temido RCE.
Bastava um atacante na mesma rede, ou com acesso à infraestrutura do provedor, trocar o arquivo por um malware.
AMD classificou o caso como “fora do escopo”…
O relatório foi enviado em 6 de fevereiro pelo programa de bug bounty da AMD, hospedado na plataforma Intigriti. A resposta foi o fechamento do chamado por estar “fora do escopo”, já que envolvia ataque man-in-the-middle e afetava ferramentas opcionais. Sem enquadramento, sem pagamento.
O pesquisador então publicou tudo em seu blog, no post “The RCE that AMD won’t fix” (a falha de execução remota que a AMD não vai corrigir). O texto viralizou no Hacker News e, em menos de um dia, o PSIRT, time interno de segurança da AMD, voltou atrás e disse que analisaria o caso.
Veio então a contraproposta: a fabricante de chips pediu a remoção temporária do post e, em troca, se comprometeu a emitir um CVE, implementar a correção e dar crédito público ao pesquisador, mantendo a negativa do pagamento por se tratar de ferramenta opcional dependente de MITM. MrBruh aceitou, decisão da qual diz se arrepender hoje.
Linha do tempo de 124 dias
O pesquisador sugeriu o prazo padrão da indústria de 90 dias até a divulgação pública. A AMD pediu mais, alegando que outras ferramentas além do Ryzen Master estavam afetadas.
O acordo subiu para 100 dias e, perto do fim, a empresa pediu prazo extra de novo, citando clientes que precisavam de tempo após a liberação dos patches.
| Data | Evento |
|---|---|
| 27 de janeiro | MrBruh descobre a falha no atualizador |
| 6 de fevereiro | Reporte via Intigriti, fechado no mesmo dia como “fora do escopo” |
| 6 de fevereiro | Divulgação pública no blog, que viraliza no Hacker News |
| Fevereiro | AMD pede remoção do post e promete CVE, correção e crédito |
| 9 de junho | Correção liberada, 124 dias após a descoberta |
A vulnerabilidade acabou registrada como CVE-2026-40677, com nota 7,7 na escala CVSS 4.0, classificação de alta severidade.
A demora chamou atenção porque a correção do problema original era trivial: trocar “http” por “https” no código, uma alteração de um caractere.
No boletim oficial AMD-SB-9027, a empresa reconheceu a gravidade do cenário descrito:
“Sob certas condições, esse problema pode ser explorado por um atacante remoto para conduzir um ataque man-in-the-middle e introduzir um executável malicioso, o que poderia levar à execução de código com privilégios elevados”
Correção veio com ressalvas e uma ironia
No fim, a AMD reescreveu por completo o código de download do atualizador, e o pesquisador confirmou que a nova versão baixa os drivers de forma segura. Ele ressalva, porém, que a checagem de integridade dos arquivos usa apenas CRC32, algoritmo antigo que não é considerado criptograficamente seguro.
A história ainda guarda um detalhe cômico… Segundo um usuário do Reddit que analisou o software, o trecho vulnerável do código sequer estava sendo chamado: o atualizador estava quebrado.
Na prática, a AMD não conseguia atualizar o atualizador pelo próprio atualizador, e a correção exige que o usuário baixe manualmente a versão nova do pacote de software.
Leia também:
- Processadores AMD podem ser desbloqueados com nova falha de segurança – Atualize sua BIOS agora!
- Milhões de CPUs AMD são afetadas por nova vulnerabilidade Sinkclose
- Vulnerabilidade no AMD Zen 2 pode revelar senhas e criptografia a terceiros
Regras do programa mudaram depois do caso
O episódio teve um desdobramento que preocupa a comunidade; segundo o TechSpot, a AMD alterou as regras do programa de recompensas depois do ocorrido, transformando o silêncio do pesquisador durante o embargo em exigência formal, condição que não existia quando MrBruh publicou seu primeiro post.
O precedente é o que mais incomoda os profissionais da área. Nos fóruns, a reação dominante resume o risco: quem encontrar a próxima brecha em software da AMD pode simplesmente não reportar, e a empresa perde o canal que hoje a avisa dos problemas antes dos criminosos.
Casos parecidos se acumulam no setor, a Microsoft enfrenta situação semelhante com o pesquisador por trás do Nightmare-Eclipse, que passou a divulgar exploits de dia zero do Windows depois de se sentir lesado pelo programa de recompensas da empresa.
Fonte(s): MrBruh, TechSpot e AMD (boletim de segurança AMD-SB-9027)
