概要
- AMD AutoUpdateソフトウェアに 重大なRCE脆弱性 を発見
- HTTP通信 を利用したMITM攻撃のリスク
- AMDの バグバウンティ規約 により報酬対象外とされる
- 修正までに 124日 を要し、対応の遅れが問題に
- 最終的に CVE発行・部分的な修正 が行われるも、完全な対策には課題
AMD AutoUpdateの脆弱性発見と経緯
- 新しいゲーミングPCで 頻繁に表示されるコンソールウィンドウ の原因を調査
- 該当プロセスが AMD AutoUpdate であることを特定
- app.config 内にアップデートURLが記載されていることを発見
- プロダクション環境で "Development" URL が使われている点が不自然
- アップデート情報XMLは HTTPS で配信されているが、実際の実行ファイルのダウンロードURLは HTTP を利用
- MITM攻撃 による悪意ある実行ファイル配信リスク
- 署名チェックや証明書検証なし で即時実行される設計
AMDへの報告と対応
- AMDの バグバウンティ規約 ではMITM関連は「対象外」とされ、最初は 受付拒否
- Hacker Newsで話題となり、 AMD PSIRT が再調査を開始
- 第三者プラットフォームIntigriti は初期トリアージを担当
- AMDは 記事の一時公開停止 と 長期エンバーゴ を要請
- 修正内容の連絡や進捗更新が遅く、 合計124日 の公開延期
- 複数のオプションツール に影響が及ぶため、追加の調査・修正が必要と説明
修正内容とその評価
- 最終的な修正として、 Ryzen Master のオートアップデーター機能をインストーラーからアプリケーション層へ移動
- 全通信をHTTPS化 し、アップデートファイルに 署名検証 を導入したと説明
- 実際には CRC-32チェックのみ で、 暗号学的な安全性は不十分
- アップデーターの リダイレクトバグ により、そもそも脆弱性が発動しない状況も発生
公開・報酬・今後の注意点
- バグバウンティ報酬はゼロ (他社も含めて累計$0)
- 本件は CVE発行・研究者クレジットのみ で金銭的報酬なし
- エンバーゴ期間 の不透明さと、 修正の遅さ が課題
- AMDユーザーには ソフトの完全アンインストールと最新版導入 を推奨
タイムライン(DD/MM/YYYY)
- 27/01/2026 - 脆弱性発見
- 06/02/2026 - AMDへ報告、即日「対象外」対応
- 06/02/2026 - ブログ初公開
- 07/02/2026 - AMDが再調査を表明
- 09/06/2026 - エンバーゴ解除(124日経過)
関連リンク
- YouTube解説動画
- Hacker Newsの議論(173コメント)
まとめ
- バグ報告と脆弱性公開 のプロセスの透明性・迅速性の重要性
- HTTP通信 や 署名未検証 は重大なリスク要因
- 責任ある開示 と ユーザー保護 のバランスの難しさ
- 今後も ベンダーの対応姿勢 や セキュリティ慣行 への注視が必要