- AMDのAutoUpdateソフトウェアでリモートコード実行(RCE)の脆弱性が発見され報告されたが、AMDはこれを修正しないことを決定
- 更新設定ファイルに保存されたURLがHTTPプロトコルを使って実行ファイルをダウンロードするようになっており、MITM(中間者攻撃) に脆弱
- ソフトウェアはダウンロードしたファイルの署名検証を行わず、直ちに実行する構造になっている
- AMDはこの問題を**「範囲外(out of scope)」** に分類し、セキュリティ脆弱性として認めていない
- ネットワーク攻撃者が悪意ある実行ファイルを配布できるリスクが存在するにもかかわらず、パッチが提供されない点がセキュリティ上の懸念として指摘されている
AMD AutoUpdateのRCE脆弱性が発見されるまで
- 新しいゲーミングPCで定期的に表示されるコンソールウィンドウの問題を追跡していたところ、原因がAMD AutoUpdate実行ファイルであることを確認
- プログラムを逆コンパイルする過程で偶然RCE脆弱性を発見
- 更新URLは
app.configファイルに保存されており、本番環境でも開発用(Development)URLを使用している
- そのURL自体はHTTPSを使用しているが、実際の実行ファイルのダウンロードリンクはHTTPになっている
脆弱性の技術的な問題
- HTTP経由で実行ファイルをダウンロードするため、ネットワーク内の攻撃者やISPレベルの攻撃者が応答を改ざんして悪意あるファイルに差し替え可能
- AutoUpdateプログラムはダウンロードしたファイルの証明書や署名の検証を行わない
- その結果、攻撃者が任意の実行ファイルを配布し、プログラムがそれを直ちに実行できる構造となっている
AMDの対応と報告結果
- 脆弱性発見後にAMDへ報告されたが、「修正しない(won’t fix)」 および 「範囲外(out of scope)」 と分類されて終了
- AMDはこの脆弱性をセキュリティ問題と見なしていない
- 報告および公開の日程は以下の通り
- 27/01/2026: 脆弱性を発見
- 05/02/2026: AMDに報告
- 05/02/2026: 「won’t fix/out of scope」として終了
- 06/02/2026: ブログ記事を公開
セキュリティ上の含意
- HTTPベースの更新構造と署名検証の欠如は、ユーザーシステムをリモートコード実行攻撃にさらす可能性がある
- AMDがこの問題を修正しないと決めたことは、セキュリティコミュニティ内で論争を招く可能性を含んでいる
- ネットワーク攻撃者が存在する場合、マルウェア配布経路として悪用される危険がある
1件のコメント
Hacker Newsの意見
Linuxがすべてのドライバを同梱しているのが良い理由は、低品質あるいはスパイウェアのようなドライバ管理ソフトをインストールする必要がないからだ
こうしたプログラムはサンドボックス化が難しく、セキュリティ上危険だ
興味深いことに、無償で働くディストリビューションのメンテナたちのほうが、数十億ドル規模のハードウェアベンダーよりもはるかにセキュリティに長けているように見える
ディストリビューションのメンテナはセキュリティを重視するが、ベンダーは次世代ハードウェアを素早く出荷することのほうが重要だ
結局、両者は異なる目標を持っている
少数の影響力ある人たちが黙々と良い仕事をしている
ニュースにならない人たちこそ本当の実力者だという合図だと思う
機能の大半はLinuxでは使えない
私はすべてのHTTPトラフィックを遮断している
AMDだけでなくGigabyteやASUSも、HTTPアクセスがないと自動更新に失敗する
関連するRedditスレッドでもこの問題が扱われている
暗号化されていないHTTPリクエストはプライバシー漏えいであり、潜在的なMITM攻撃ベクターでもある
TLSスタックははるかに攻撃しにくい標的だ
結局はクライアントの署名検証コードを信頼することになるので、GPGを信頼するのと変わらない
インストール済みパッケージのバージョンを追跡するには便利だが、セキュリティ面では不安だ
これは本当に深刻な問題だ
HTTPリダイレクトを利用して任意コード実行が可能な状況で、こうしたプログラムが大量のPCにインストールされている
空港でWi-Fiホットスポットを開くだけで、ATIグラフィックスの利用者をすぐ攻撃できるほどだ
法律で防ぐのが唯一の予防策というわけだ
つまり、VPNなしで危険なホットスポットに接続していて、AMDが最近アップデートを配布しており、スケジューラが実行されるときに限られる
だが地域ISPが悪意を持っていれば、攻撃ははるかに簡単になる
Win98の時代から、自動更新は最も愚かな機能だと思っている
DNSを一度汚染するだけでも攻撃は可能だ
例えばルーターがハッキングされて誤ったIPを返せば、HTTPトラフィックに悪意あるバイナリを注入できる
HTTPSはそのまま通るが、HTTPは脆弱だ
デフォルトの管理者パスワードをそのまま使っている人は今すぐ変えるべきだ
攻撃者はDHCPスプーフィングや偽Wi-Fiでも同じことができる
AMDがこの問題をバグバウンティの対象外として拒否したのは理解しがたい
顧客を1人失うだけでもバウンティより損失が大きいはずなのに、文書上の対象範囲を言い訳にしてセキュリティを無視するのは悪いシグナルだ
こうした態度は、今後ハッカーがAMDに報告しなくなる原因になるだろう
だから仮に対象内だったとしても、報奨金が出るほうがおかしいくらいだ
これは単なるミスではなく、セキュリティ報告体制の失敗だ
大企業のセキュリティ部門がAMDハードウェアや更新アプリを禁止するか議論するレベルだ
もしCVEとして登録されていたらニュースになるほどの事件だ
攻撃者は公共Wi-FiやISPでHTTPトラフィックを監視し、実行ファイルを感染させることができる
AMDはこれを脆弱性ではないと言ったのではなく、バグバウンティの対象外だと言っただけだ
攻撃者には「対象外」などという概念はないのに、AMDはそれを方針にしている
これは明らかなセキュリティ上の無責任な方針だ
これは非常に深刻な脆弱性だ
「MitMが必要だ」という理由で軽く扱うべきではない
インターネット自体がすでにMitM環境だ
悪意あるDHCPサーバーがDNSを操作するだけでも攻撃可能だ
AMDが報告から1日で「out of scope / won't fix」として閉じたのはあまりに性急だ
ただバグバウンティのチャネル外という意味にすぎず、実際に修正しないという意味ではないかもしれない
私のPCではAMD AutoUpdateターミナルが毎日深夜0時に現れて、閉じなければならない
これで完全にブロックして手動更新に戻る理由ができた
結局閉じると次の起動時にドライバが消えて、再インストールが必要になった
私が使った中で最悪の自動更新プログラムだった