作者发现AMD自动更新软件存在远程代码执行漏洞，该软件通过HTTP下载可执行文件且未进行签名验证，攻击者可利用中间人攻击注入恶意程序。尽管作者报告了漏洞，但AMD拒绝修复。

标题：AMD拒绝修复的远程代码执行漏洞！

内容概述： 一位用户在全新游戏电脑上频繁遭遇AMD AutoUpdate软件弹窗干扰，通过反编译该软件意外发现一个严重的远程代码执行（RCE）漏洞。核心问题在于：

1. 更新机制缺陷：

• 软件使用HTTP协议下载可执行文件（而非HTTPS）
• 缺乏数字签名验证机制
• 下载后直接执行文件

2. 攻击风险：

• 局域网恶意攻击者或国家级黑客可实施中间人攻击
• 能任意替换下载内容为恶意程序

3. 厂商回应： 2026年1月27日发现漏洞 → 2月5日提交报告 → 同日被AMD以"超出范围"为由关闭（标记为wont fix/out of scope）

时间线： 27/01/2026 漏洞发现 → 05/02/2026 提交报告 → 同日被驳回 → 06/02/2026 公开披露

（注：文中配图链接及无关推广内容已省略）

以下是评论内容的总结：

主要观点和论据

1. 漏洞严重性

   • 评论认为这是一个严重的漏洞，容易被利用，尤其是通过中间人攻击（MitM）。
   • 引用：
     • "This is super bad right? Like anybody who has this running will be vulnerable to a super basic HTTP redirect" (评论2)
     • "Wow, this is an extremely serious vulnerability. People writing it off because it requires MitM. There's always a MitM, the internet is basically a MitM." (评论13)

2. AMD的回应争议

   • 部分评论对AMD将漏洞标记为“WONTFIX”表示不满，认为这是不负责任的行为。
   • 引用：
     • "Marking this as a WONTFIX should have gotten somebody fired at AMD." (评论17)
     • "Whether you agree with whether this rule should be out-of-scope or not is a separate issue." (评论9)

3. 漏洞利用场景

   • 评论列举了多种可能的攻击场景，如DNS劫持、路由器默认密码、公共WiFi等。
   • 引用：
     • "So compromising one DNS lookup is sufficient..." (评论6)
     • "I imagine there might be some interesting differential there that might lead to a bug bounty." (评论9)

4. Linux的优势

   • 部分评论提到Linux系统由于驱动内置，避免了此类问题。
   • 引用：
     • "One good thing we can say about Linux bundling all the drivers is that it obviates the need to run almost all of this type of low quality driver management software." (评论12)
     • "Spooky, this is not exposure if using Linux?" (评论14)

5. 用户应对措施

   • 一些用户表示已采取行动禁用或卸载相关功能。
   • 引用：
     • "Now I have good reason to block it entirely and go back to manual updates." (评论15)
     • "I removed AMD auto-update functionality from Windows boxen." (评论19)

不同观点的平衡性

• 支持漏洞严重性的评论占多数，但也有评论指出漏洞利用需要特定条件（如评论8）。
• 对AMD的回应既有严厉批评（如评论17），也有理解其漏洞赏金范围限制的（如评论7）。
• 部分评论认为漏洞的实际威胁被夸大（如评论11）。

关键引用保留

• 英文：
  • "This is super bad right? Like anybody who has this running will be vulnerable to a super basic HTTP redirect" (评论2)
  • "Marking this as a WONTFIX should have gotten somebody fired at AMD." (评论17)
• 中文：
  • “这太糟糕了，任何运行此功能的人都容易受到基本的HTTP重定向攻击。”（评论2）
  • “将此事标记为‘不予修复’应该让AMD的某人被解雇。”（评论17）

总结：评论普遍认为漏洞严重且易被利用，对AMD的回应表示不满，同时提出了多种应对措施和利用场景。部分评论对漏洞的实际威胁和AMD的立场持保留态度。