2026/06/12 1:03
AMD が修正しない RCE
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
2026 年 1 月、ある著者が AMD の AutoUpdate ソフトウェアをデコンパイルして煩わしいコンソールのポップアップを除去する過程で、自明なリモートコード実行(RCE)脆弱性を発見した。この不具合の原因は、実行可能なダウンロード URL が非暗号化の HTTP を HTTPS に使用していない点にあり、証明書検証なしの中間者攻撃(MITM)が可能となっている。初期の分析では、该软件がダウンロードしたファイルを直ちに実行し、暗号署名を検証していなかったことが判明した。AMD は、第三者によるバグ賞金プラットフォーム(Intigriti)を通じて報告を「スコープ外」として閉じたが、これは MITM シナリオに依存していたことのみを理由としていた。その後、AMD の PSIRT は賞金支払いを拒否したが、ブログ投稿の削除を要求し、拡張された内部審査の間に行うよう求めた結果、業界標準である 90 日よりも長い 124 日の禁錮期間が設定され、これは 2026 年 9 月 6 日に終了した。最終的なパッチでは HTTP の問題に対応したが、「堅牢な暗号署名が実装された」と虚偽の主張をしている。実際には、AMD は非暗号学的に安全ではない CRC-32 チェックのみを実行している。さらに、パッチにより自動更新は完全に除去され、HTTPS リダイレクトを処理する際にクラッシュを引き起こし、脆弱なツール経由での自己更新ができなくなった「捕らわれているジレンマ(Catch-22)」を生み出した。著者は 0 ドルを受け取り、約 10,000 ドルの賞金の機会を見逃しており、これは技術産業における責任ある開示を抑制する前例を残している。
本文
AMD 更新プログラムに見つかった RCE 脆弱性と長期化した公開プロセス
1. 発見の経緯と脆弱性の概要
- きっかけ: ゲーミング PC のコンソールウィンドウが頻繁に表示され、動作を妨害するため、問題の原因となる実行可能ファイル(
)の特定を開始。.exe - 実態: その結果、AMD の自動更新ソフトウェアが犯人であることが判明。怒りからデコンパイルし解析を実施したところ、重大な脆弱性が発見された。
- 脆弱性の核心: **遠隔コード実行(RCE)**のリスクが存在する。
2. 技術的なリスク要因
- 開発環境 URL の混在:
ファイル内にアップデート用の URL が格納されているが、「開発(Development)」モードが使われているのは異例。app.config - HTTP プロトコルの使用:
- 表面上は HTTPS で動作するため一見安全に見える。
- しかし、実際にダウンロードされるファイルのソースとなる XML アドレスを開くと、すべての実行可能ファイルの URL が HTTP プロトコルを使用していることが判明。
- 中間者攻撃(MITM)のリスク:
- 悪意のある攻撃者や ISP、国によるアクセス権限を持つ者がネットワーク経由でレスポンスを書き換えることが可能。
- マルウェアや任意の実行可能ファイルがダウンロードされるリスクがある。
- 検証機能の欠如:
- 当初は署名検証機能が実装されていると期待したが、デコンパイルの結果、そのような検証機能は一切存在しない。
- ダウンロードしたファイルを即座に実行してしまう仕組みになっている。
3. バグボントリー報告への対応と変更
- 初期の判断: 被害の深刻さから AMD に報告を検討したが、Intigriti(サードパーティ製プラットフォーム)の規約により**「MITM 攻撃関連」が対象外(Out of Scope)**と判定され、却下された。
- AMD の姿勢の変化: Hacker News で話題化した翌日、AMD から再検討を要請する連絡があり、現在は AMD 内部セキュリティチームであるPSIRTによる審査中。
- 技術的な検証は行い、潜在的な有効性については認めている。
- 現在の見解:
- AMD は依然として「バグボントリー対象外」と認定(ツールに影響あり+MITM に依存するため)。
- その代わりとして以下の対応を決定。
- 脆弱性に CVE 番号を付与する。
- 修正パッチの実装を行う。
- ご貢献への認知(クレジット)を提供する。
4. エンバーゴ(公開停止期間)の長期化と論点
- AMD の依頼: 問題解決までの間、ブログ記事の公開を延期するよう要請。しかし、既に話題を取り上げた投稿が存在するため、規約違反として指摘された。
- 「審査および公式対応完了まで待っていただく」内容だったが、現在では誤った判断であると認識。
- 公開日程をめぐるやり取り:
- AMD は「複数のツールに影響するため、通常の期間よりも長い保留が必要」とし、詳細は後日連絡すると伝えた。
- 業界標準(90 日間)に対し、大幅に長期化するエンバーゴが正当化された理由:「AMD の製品群全体に影響する可能性」があるため。
- 修正パッチの実態:
- 実は極めてシンプルで、XML ファイル内の HTTP URL に **「s」を追加(HTTPS にする)**だけで対応可能。
- 数百万人の利用者をハッキングされる重大な問題でありながら、この程度の簡素な修正が必要なのに何カ月も待つ必要があることへの疑問が呈されている。
- 経緯のまとめ:
- 報告から連絡まで合計 87 日間待機せざるを得なかった。
- 修正完了の確約があっても、進捗連絡がなく、100 日後の再掲載を伝えるなど対応が遅延した。
- 最終的にエンバーゴ終了数日前にのみ通知があり、AMD はエンジニアリングチームへの早期対応要請を受け、「6 月 9 日公開を目指す」と報告された。
5. 最終結果と新たな問題
- 実際の修正内容:
- Ryzen Master の場合、自動更新機能がインストーラーから取り外され、アプリケーション層へ移行。
- すべてのアップデート通信がHTTPSに保護されたとされる(ただし、検証では CRC-32 チェックのみであり、暗号的な署名検証は実装されていない)。
- 新たな不具合の発見:
- 脆弱性修正前の自動更新プログラム自体は別の重大不具合を抱えていた。
- ドメイン変更によるリダイレクト処理が適切に対応できず、アプリがクラッシュ・フリーズする。
- Catch-22(鶏と卵のジレンマ): 脆弱性を修正するには更新が必要だが、更新プログラム自体のリダイレクト不具合を先に直さねばならない状況にある。
- このため、発見した RCE 脆弱性自体が利用不能になる可能性がある。
- 推奨措置: AMD ユーザーに対し、現在の全ファイルをアンインストールし、公式ウェブサイトから最新版を再ダウンロードするよう提案。
6. タイムライン
以下の日程で事件は推移しました。
| 日付 | イベント |
|---|---|
| 2026/01/27 | 脆弱性の発見(筆者) |
| 2026/02/06 | 脆弱性の報告提出 |
| 2026/02/06 | 脆弱性が「修正不要・対象外」として閉鎖(初期判定) |
| 2026/02/06 | ブログ記事の公開(後日再掲載予定) |
| 2026/02/07 | AMD が方針変更し、調査に応じてくれると確認 |
| 2026/06/09 | エンバーゴ期間(124 日間)が終了する予定 |
7. 報酬について
- 現状: Google、ASUS、AMD、TP-Link、MSI 他社に対する合計報酬は 0 ドル。
- もし対象になっていれば: AMD のバグボントリー規約に該当していれば、約 1 万米ドルの賞金が与えられていた可能性が高い。
- 応援リンク: 本記事に興味があれば、Ko-fi でコーヒーをご購入いただきご支援ください。