Корпоративная жадность победила здравый смысл. AMD сэкономила на вознаграждении и получила репутационный разгром

Иногда найти уязвимость оказывается проще, чем добиться от компании честного ответа. Именно с этим столкнулся исследователь безопасности под псевдонимом MrBruh, обнаруживший серьёзную брешь в программном обеспечении AMD и в итоге оставшийся без обещанного вознаграждения.

Всё началось с раздражающего всплывающего окна утилиты обновления AMD на новом игровом компьютере. Изучив код программы, MrBruh выяснил: хотя список обновлений загружался по защищённому протоколу HTTPS, сами исполняемые файлы скачивались по незашифрованному HTTP. При этом утилита не проверяла ни сертификаты, ни подписи файлов перед их запуском.

Это открывало путь для атаки типа «человек посередине»: злоумышленник, находящийся в той же сети или способный вмешаться в соединение, мог подменить легитимный файл обновления вредоносным. Поскольку утилита работает с повышенными привилегиями, результатом стало бы выполнение произвольного кода на машине жертвы. Уязвимость получила идентификатор CVE-2026-40677 и оценку 7,7 по шкале CVSS 4.0.

MrBruh сообщил AMD о проблеме 6 февраля через программу вознаграждений, однако компания закрыла заявку как не подходящую под правила, поскольку сценарий требовал перехвата трафика и затрагивал необязательные инструменты. Обещанная выплата в $10.000 так и не состоялась.

После этого исследователь опубликовал результаты своей работы в личном блоге. Позже пост попал на форум Hacker News, где быстро набрал популярность. Тогда AMD попросила MrBruh удалить материал, сославшись на нарушение условий программы. Однако, как выяснили в Gamers Nexus, компания изменила правила этой самой программы уже после публикации исследователя — добавив пункт о запрете раскрытия информации даже для отчётов, признанных неподходящими. Получилось, что MrBruh обвинили в нарушении правил, которых не существовало на момент раскрытия им информации.

Спустя 124 дня после обнаружения уязвимость всё же устранили. Разумеется, без выплаты исследователю. Исправленные версии: AMD Ryzen Master 2.14.3, AMD µProf 5.3 и AMD Management Console 14.0.0. AMD заявила, что теперь все обновления передаются по HTTPS и проходят проверку подписи.

MrBruh изучил патч и уточнил: вместо криптографической подписи применяется лишь контрольная сумма CRC32, которая не защищает от подмены файла. Кроме того, он обнаружил отдельную ошибку переадресации, из-за которой утилита может не обновить корректно сама себя. Исследователь рекомендует полностью удалить программное обеспечение AMD и загрузить актуальные версии вручную с официального сайта компании.

По итогу, рядовая техническая проблема превратилась для AMD в репутационный провал. Бесспорно, компания сумела единомоментно сэкономить. Но в долгосрочной перспективе — только отбила у багхантеров желание тратить своё время. Ведь зачем стараться и искать уязвимости, если нет никакой гарантии, что твой труд оценят и вознаградят. А ведь в этом и есть смысл программы Bug Bounty.