- Falha crítica no atualizador automático da AMD permitia execução remota de código via ataque man‑in‑the‑middle; vulnerabilidade registrada como CVE‑2026‑40677.
- Patch foi lançado após 124 dias, em 9 de junho, com a AMD reescrevendo o código de download; uso de CRC32 para checagem de integridade é considerado fraco.
- Pesquisador conhecido como MrBruh não recebeu a recompensa de US$ 10 mil, apesar do caso ter entrado no programa de bug bounty; inicialmente houve classificação como fora do escopo.
- Houve negociação para remoção do post e promessa de CVE, correção e crédito público; após repercussão, o PSIRT da AMD voltou a analisar o caso.
- Mesmo com a correção, o atualizador pode exigir que o usuário baixe manualmente a nova versão, pois a verificação de integridade original dependia de um sistema desatualizado e o atualizador estava, segundo relatos, “quebrado”.
Uma falha crítica no atualizador automático da AMD foi corrigida 124 dias após ter sido descoberta. O problema permitia execução remota de código e ficou registrado como CVE-2026-40677. A vulnerabilidade surgiu em um ambiente de atualização de drivers, potencialmente afetando usuários que acessavam o software pela rede.
Quem encontrou o erro foi o pesquisador conhecido como MrBruh, em 27 de janeiro, em um PC gamer recém-montado. Ao analisar o atualizador, ele verificou que as atualizações eram baixadas via HTTPS, mas os executáveis utilizavam HTTP sem criptografia, sem validação real de assinatura. O bug poderia ser explorado por alguém na mesma rede.
Contexto do programa de recompensas
O caso começou com o registro do bug pela plataforma Intigriti, onde a AMD considerou o ataque fora do escopo em 6 de fevereiro, encerrando o chamado sem pagamento. A divulgação pública no blog de MrBruh viralizou e levou o PSIRT da AMD a reavaliar o caso, que acabou recebendo nova análise.
A fabricante propôs remover temporariamente o post, emitir um CVE, corrigir o erro e creditar o pesquisador, mantendo a negativa inicial de pagamento por envolver ferramenta opcional sujeita a MITM. MrBruh aceitou, uma decisão que hoje ele questiona.
Desdobramentos técnicos e correção
A linha do tempo aponta 124 dias entre descoberta e correção, com o patch final liberado em junho. A inconsistência na verificação de integridade permaneceu, já que o mecanismo usa CRC32, considerado fraco criptograficamente. A correção recodificou o download do atualizador, permitindo que os drivers sejam obtidos com maior segurança.
Segundo avaliação oficial, a vulnerabilidade poderia permitir ataque man-in-the-middle que instalasse código malicioso com privilégios elevados. Em alguns ambientes, o atualizador estava, na prática, sem uso, o que complicou a avaliação inicial da gravidade.
Situação atual e implicações
A AMD atualizou o código de download do atualizador, mas o procedimento pode exigir que usuários baixem manualmente o pacote atualizado. A comunidade de segurança observa o episódio como precedente para programas de recompensas, com debate sobre regras e transparência.
A controvérsia também levantou questões sobre como proceder em casos similares, incluindo situações em que pesquisadores optam por divulgar vulnerabilidades antes de mudanças formais no programa de recompensas. A AMD e a comunidade de segurança seguem avaliando impactos e práticas futuras.
Entre na conversa da comunidade