AMD will eine gemeldete Remote-Code-Execution-Schwachstelle (RCE) nicht beheben

 (mrbruh.com)
1 Punkte von GN⁺ 2026-02-07 | Noch keine Kommentare. | Auf WhatsApp teilen
  • In der AutoUpdate-Software von AMD wurde eine Remote-Code-Execution-Schwachstelle (RCE) entdeckt und gemeldet, AMD hat jedoch entschieden, sie nicht zu beheben
  • Die in der Update-Konfigurationsdatei gespeicherte URL lädt ausführbare Dateien über das HTTP-Protokoll herunter und ist dadurch für MITM-Angriffe (Man-in-the-Middle) anfällig
  • Die Software ist so aufgebaut, dass sie die Signatur heruntergeladener Dateien nicht prüft und sie sofort ausführt
  • AMD hat dieses Problem als „out of scope“ eingestuft und nicht als Sicherheitslücke anerkannt
  • Obwohl das Risiko besteht, dass ein Netzwerkangreifer bösartige ausführbare Dateien verteilen kann, wird das Fehlen eines Patches als Sicherheitsproblem kritisiert

Wie die RCE-Schwachstelle in AMD AutoUpdate entdeckt wurde

  • Beim Nachverfolgen eines regelmäßig auftauchenden Konsolenfensters auf einem neuen Gaming-PC stellte sich heraus, dass die Ursache die AMD-AutoUpdate-Executable war
  • Beim Dekompilieren des Programms wurde zufällig eine RCE-Schwachstelle entdeckt
  • Die Update-URL ist in der Datei app.config gespeichert, und selbst in der Produktionsumgebung wird eine Development-URL verwendet
  • Diese URL nutzt zwar HTTPS, die tatsächlichen Download-Links für ausführbare Dateien verwenden jedoch HTTP

Technische Probleme der Schwachstelle

  • Da ausführbare Dateien über HTTP heruntergeladen werden, können Angreifer im Netzwerk oder auf ISP-Ebene die Antwort manipulieren und durch eine bösartige Datei ersetzen
  • Das AutoUpdate-Programm prüft weder Zertifikate noch Signaturen der heruntergeladenen Dateien
  • Dadurch kann ein Angreifer letztlich eine beliebige ausführbare Datei verteilen, die das Programm sofort ausführen kann

Reaktion von AMD und Ergebnis der Meldung

  • Nach der Entdeckung wurde die Schwachstelle an AMD gemeldet, aber als „won’t fix“ und „out of scope“ eingestuft und damit abgeschlossen
  • AMD betrachtet diese Schwachstelle nicht als Sicherheitsproblem
  • Der Zeitplan für Meldung und Veröffentlichung war wie folgt
    • 27/01/2026: Schwachstelle entdeckt
    • 05/02/2026: An AMD gemeldet
    • 05/02/2026: Als „wont fix/out of scope“ geschlossen
    • 06/02/2026: Blogbeitrag veröffentlicht

Sicherheitstechnische Implikationen

  • Eine HTTP-basierte Update-Struktur und fehlende Signaturprüfung können Benutzersysteme Remote-Code-Execution-Angriffen aussetzen
  • Die Entscheidung von AMD, dieses Problem nicht zu beheben, birgt Potenzial für Kontroversen in der Sicherheits-Community
  • Falls ein Netzwerkangreifer vorhanden ist, besteht das Risiko des Missbrauchs als Verteilungsweg für Schadsoftware

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.