作者发现AMD自动更新软件存在严重远程代码执行漏洞：更新链接使用不安全的HTTP协议，且软件未对下载文件进行签名验证，使攻击者可通过中间人攻击植入恶意程序。尽管作者向AMD报告，但该漏洞未获修复。

标题：AMD拒绝修复的远程代码执行漏洞！

主要内容重述：

作者在新游戏电脑上发现AMD AutoUpdate软件会周期性弹出烦人的控制台窗口。通过反编译该软件，意外发现一个严重的远程代码执行(RCE)漏洞。

关键发现： 1. 更新URL存储在程序的app.config中，虽然使用开发环境URL但采用HTTPS 2. 实际下载更新时却使用不安全的HTTP协议，使攻击者可进行中间人攻击替换恶意程序 3. 软件未对下载文件进行签名验证，直接执行

漏洞报告过程： - 最初被AMD漏洞赏金计划以"中间人攻击不在范围内"为由拒绝 - 在Hacker News引发热议后，AMD安全团队(PSIRT)重新介入调查 - 作者被要求撤下博客文章，等待修复 - AMD最终承认漏洞，承诺发布CVE并给予作者荣誉，但不提供赏金

争议点： 1. AMD要求远长于行业标准90天的漏洞保密期(最终达124天) 2. 实际修复方案极其简单(将HTTP改为HTTPS) 3. 更新程序本身存在重定向bug导致无法正常工作 4. 最终修复方案中声称的"签名验证"实际仅为不安全的CRC-32校验

现状： - 漏洞虽被修复，但由于更新程序自身问题导致实际上无法被利用 - 作者建议用户完全卸载AMD软件后重新安装最新版本

时间线： 2026年1月27日发现漏洞 → 2月6日报告 → 6月9日(124天后)解除保密

注：作者披露曾向多家大厂报告漏洞但未获任何赏金，本次AMD漏洞若在范围内本可获得约1万美元奖励。

（编辑说明：保留了核心漏洞细节和主要争议点，精简了部分对话细节和图片描述，突出了事件的关键转折和矛盾点）

以下是评论内容的总结：

1. 关于MITM攻击的争议

   • 主要观点：多数评论认为中间人攻击(MITM)是有效的攻击方式，AMD应重视该漏洞
   • 关键引用：
     • "It's ridiculous to consider MITM attacks out of scope"(tlb)
     • "I think we can all agree that MiTM is a valid attack vector"(dmitrygr)
   • 补充：有用户发起众筹奖励漏洞发现者

2. 对AMD软件质量的批评

   • 主要观点：普遍认为AMD软件质量差，存在各种问题
   • 关键引用：
     • "AMD software is often utter trash"(mrguyorama)
     • "AMD's inability to make good software has been a recurring problem"(nickdothutton)
   • 具体问题包括：驱动问题、自动更新程序干扰等

3. 对修复方案的质疑

   • 主要观点：认为AMD的CRC32校验方案不安全
   • 关键引用：
     • "The 'signature verification' in the fix being CRC32 is pretty hilariously clueless"(dcminter)
     • "massive infection is still trivial if someone compromises the webserver"(Terr_)

4. 其他观点

   • 有用户建议避免在Windows使用AMD产品("Don't bother to use Windows?" - ezoe)
   • 有用户怀疑这是政府后门("Congratulations, you found the government backdoor!" - greenavocado)
   • 有用户对白帽工作表示失望("Seems like white hat work is pretty fruitless nowadays" - rirze)

总结：评论主要批评AMD软件安全问题和管理不善，特别关注MITM漏洞处理不当和软件质量长期不佳的问题，同时也有对漏洞奖励机制的讨论。