セキュリティ

AMDの自動更新ツールに見つかったリモートコード実行の脆弱性、報告から公開までに何が起きたのか


AMDの自動更新ツールにリモートコード実行につながる可能性がある脆弱(ぜいじゃく)性が見つかりました。セキュリティ研究者のMrBruh氏はAMDに報告したものの、中間者攻撃を前提とするため報奨金制度の対象外と判断され、その対応を巡って議論が広がっています。

The RCE that AMD wouldn’t fix! | MrBruh's Epic Blog
https://mrbruh.com/amd2/

問題となったのは自動更新ツールであるAMD Auto Updaterが更新情報の取得にHTTPSを使っている一方で、実際にダウンロードする実行ファイルのURLにはHTTPが使われていたという点です。さらにMrBruh氏が逆コンパイルして確認したところ、ダウンロードした実行ファイルに対する暗号学的な署名検証は行われず、そのまま実行される仕組みだったとのこと。

この問題により、攻撃者が同じネットワーク上にいる場合や通信経路上でデータを書き換えられる立場にある場合、正規の更新ファイルを悪意ある実行ファイルに差し替えられる可能性があります。特にユーザー側から見ると通常の自動更新に見えるため、スパイウェアやランサムウェアなどが管理者権限で実行されるケースも考えられます。


MrBruh氏は2026年1月27日にこの脆弱性を発見し、2月6日にAMDへ報告しました。しかし、AMDのバグ報奨金プログラムを担当するIntigritiは同日、この報告を「修正対象外かつ報奨金対象外」としてクローズしたとのこと。

その後、MrBruh氏がブログ記事を公開してHacker Newsで話題になると、AMDのPSIRTは改めて調査すると連絡しました。AMD側は「Intigritiが報奨金対象外と判断しても、社内では脆弱性としての妥当性を確認する」と説明し、さらにCVEの発行や修正、研究者としてのクレジット付与を行う方針を示したとされています。


一方で、AMDはMrBruh氏に対してブログ記事の削除を要求し、正式対応が終わるまで公開を待つよう求めました。MrBruh氏はこれに応じたものの、その後の連絡は積極的ではなく、最終的に初回報告から124日後の2026年6月9日が公開日になったと説明しています。

AMDは最終的にこの問題を「AMD Auto Updater Vulnerability」として公表し、CVE-2026-40677を割り当てました。AMDは影響を受ける製品としてAMD Management ConsoleAMD Ryzen MasterAMD µProfを挙げています。緩和策としてAMD Management Consoleはバージョン14.0.0、AMD Ryzen Masterはバージョン2.14.3、AMD µProfはバージョン5.3以降への更新が推奨されています。


ただし、MrBruh氏はAMDから「Ryzen Masterでは自動更新機能をインストーラーからアプリケーション層へ移し、更新通信はHTTPSで保護され、更新ファイルは署名検証を受ける」と説明されたものの、実際に確認できたのはCRC-32チェックだったと主張しています。CRC-32はデータ破損の検出には使えますが、攻撃者による改ざんを防ぐための暗号学的な署名検証とは異なるため、MrBruh氏はAMDの説明は正確ではないと批判しています。

さらにMrBruh氏は別の問題としてAMD Auto Updaterがati.comからdrivers.amd.comへのリダイレクトを処理できず、更新処理がクラッシュまたは停止する可能性にも触れています。このため、脆弱性が実際には悪用可能な段階まで到達しない可能性がある一方で、脆弱な更新機構を修正するにはその更新機構自体を更新しなければならないという矛盾した状態になっていたと指摘しています。

ソーシャルニュースサイトのHacker Newsでは、中間者攻撃を理由に報奨金対象外とする判断への批判が相次ぎました。特にHTTPで実行ファイルを配布し追加の署名検証もない場合は単なる特殊条件ではなく、ソフトウェア更新機構として重大な欠陥だという見方が示されています。

また、Hacker Newsでは「バグ報奨金制度の対象外という判断は必ずしも脆弱性としての影響がないことを意味しない」という見方も示されました。あるコメントでは「中間者攻撃は『PCを乗っ取るという観点で対象外』なのではなく、あくまで特定のバグ報奨金プログラムの目的から外れているという意味だ」と指摘されています。


ゲーミングPCなどのハードウェアに関する話題を扱うYouTubeチャンネル・Gamers Nexusもこの件を取り上げ、「AMDが研究者に対して不誠実な対応を取り、後からルールを変更したかのように見える」と批判しました。

AMD Gaslights Security Researcher, Changes Rules Retroactively - YouTube

この記事のタイトルとURLをコピーする

・関連記事
AMDがハッキングでデータを盗まれたことを認める、重要な情報は流出しておらずビジネスに大きな影響はないと主張 - GIGAZINE

AMD製CPUにセキュリティ上の脆弱性があることをGoogleが報告 - GIGAZINE

パスワードマネージャーのDashlaneがサイバー攻撃を受け暗号化パスワード保管庫を盗まれた経緯を説明 - GIGAZINE

Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」、2026年6月10日のWindows Updateのパッチを全て当てた状態でも攻撃されてしまう結果に - GIGAZINE

数多くのAMD製CPUで深刻な脆弱性「Sinkclose」が発見される、AMDは修正パッチを配布するも一部の古いモデルには適用されず - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article What happened from the reporting to the ….