हाल ही में, एक सुरक्षा शोधकर्ता ने एएमडी पर उसके द्वारा रिपोर्ट की गई सुरक्षा कमजोरियों से अनुचित तरीके से निपटने का आरोप लगाया। पैच को पूरा करने में न केवल 124 दिन लगे, बल्कि बाद में बग बाउंटी कार्यक्रम की शर्तों को भी संशोधित किया गया, इसका उपयोग उसे 10,000 अमेरिकी डॉलर का बोनस देने से इनकार करने के बहाने के रूप में किया गया, जो उसे मिलना चाहिए था, जिससे उद्योग में व्यापक संदेह पैदा हो गया।

रिपोर्टों के अनुसार, ऑनलाइन नाम "मिस्टरब्रुह" वाले सुरक्षा शोधकर्ता ने अक्सर अपने नए असेंबल किए गए गेमिंग पीसी पर एएमडी अपडेट प्रोग्राम कंसोल विंडो को पॉप अप होते देखा, इसलिए उन्हें स्वचालित अपडेट सॉफ़्टवेयर पर संदेह हुआ और उन्होंने रिवर्स इंजीनियरिंग शुरू कर दी। विश्लेषण परिणाम बताते हैं कि यद्यपि एएमडी अपडेट प्रोग्राम HTTPS प्रोटोकॉल के माध्यम से अपडेट सूची प्राप्त करता है, लेकिन वास्तव में अपडेट निष्पादन योग्य फ़ाइल को डाउनलोड करने के लिए उपयोग किया जाने वाला लिंक सादे पाठ HTTP का उपयोग करता है, और निष्पादन से पहले कोई प्रभावी प्रमाणपत्र सत्यापन या हस्ताक्षर सत्यापन नहीं किया जाता है। इसका मतलब यह है कि जब तक एक हमलावर एक ही नेटवर्क वातावरण में हो सकता है या अपस्ट्रीम लिंक को नियंत्रित कर सकता है, तब तक एएमडी की अपडेट फ़ाइल को मैन-इन-द-मिडिल हमले के माध्यम से एक दुर्भावनापूर्ण निष्पादन योग्य प्रोग्राम के साथ बदलने का मौका होता है, और अपडेट प्रोग्राम स्वयं उच्च विशेषाधिकारों के साथ चलता है, जिससे रिमोट कोड निष्पादन जोखिम हो सकता है।
मिस्टरब्रुह ने 27 जनवरी को भेद्यता की खोज की और आधिकारिक तौर पर 6 फरवरी को एएमडी के बग बाउंटी कार्यक्रम के माध्यम से रिपोर्ट प्रस्तुत की। एएमडी ने बाद में इस आधार पर रिपोर्ट को बंद कर दिया कि मुद्दा "योजना के दायरे से बाहर" था और इसमें एक मध्य-मध्य हमले का परिदृश्य शामिल था और "वैकल्पिक उपकरण" प्रभावित हुए थे, इसलिए कोई इनाम जारी नहीं किया जाएगा। हालाँकि, तब से भेद्यता को आधिकारिक तौर पर CVE-2026-40677 क्रमांकित किया गया है और CVSS 4.0 स्कोर 7.7 प्राप्त हुआ है, जो दर्शाता है कि इसकी गंभीरता कम नहीं है। रिपोर्टिंग से लेकर पैचिंग और उठान तक की पूरी प्रक्रिया 124 दिनों तक चली, प्रकटीकरण प्रतिबंध 9 जून को समाप्त हो रहा है।
एएमडी के प्रारंभिक इनकार के बाद, मिस्टरब्रुह ने सार्वजनिक रूप से एक तकनीकी विश्लेषण लेख प्रकाशित किया, जिसने हैकर न्यूज़ जैसे समुदायों का ध्यान आकर्षित किया। जैसे ही जनता की राय बनी, एएमडी की आंतरिक उत्पाद सुरक्षा घटना प्रतिक्रिया टीम (पीएसआईआरटी) ने उनसे दोबारा संपर्क किया और कहा कि समस्या का अभी भी मूल्यांकन किया जा रहा है, और उनसे सार्वजनिक लेख को अस्थायी रूप से हटाने के लिए कहा, यह कहते हुए कि उनका प्रकटीकरण व्यवहार भेद्यता पुरस्कार कार्यक्रम की प्रासंगिक शर्तों का अनुपालन नहीं करता है।


हार्डवेयर मीडिया गेमर्स नेक्सस की एक जांच से पता चला कि एएमडी ने बाद में अपने भेद्यता इनाम कार्यक्रम के नियमों के शब्दों को समायोजित किया। नई शर्तें स्पष्ट रूप से निर्धारित करती हैं कि भले ही कोई सुरक्षा रिपोर्ट पुरस्कार के लिए अयोग्य मानी जाती है या कार्यक्रम के दायरे में नहीं है, शोधकर्ताओं को एएमडी की लिखित सहमति के बिना भेद्यता जानकारी प्रकाशित करने की अनुमति नहीं है। दूसरे शब्दों में, एएमडी पर पहले पुराने नियमों के तहत भेद्यता वैधता और इनाम से इनकार करने का आरोप लगाया गया था, फिर तथ्य के बाद नियमों को बदल दिया गया, और फिर पलट गया और शोधकर्ता पर उस खंड का उल्लंघन करने का आरोप लगाया जो उस समय अभी तक नहीं लिखा गया था।
वर्तमान में, एएमडी ने अपने आधिकारिक सुरक्षा बुलेटिन में सार्वजनिक रूप से इस भेद्यता के अस्तित्व को स्वीकार किया है, और लेख में श्रीब्रुह को एक हस्ताक्षर दिया है। घोषणा में कहा गया है कि AMD Ryzen मास्टर 2.14.3, AMD µProf 5.3 और AMD मैनेजमेंट कंसोल 14.0.0 जैसे संस्करणों ने शमन पूरा कर लिया है। एएमडी ने शोधकर्ताओं को बताया कि सभी अपडेट संचार अब पूरी तरह से HTTPS पर स्विच कर दिए गए हैं और अपडेट प्रक्रिया में एक हस्ताक्षर सत्यापन प्रक्रिया जोड़ दी गई है। हालाँकि, श्रीब्रुह ने पुनः परीक्षण के बाद बताया कि हालाँकि उन्होंने HTTPS के उपयोग की पुष्टि की, लेकिन उन्हें डाउनलोड की गई निष्पादन योग्य फ़ाइल पर केवल CRC32 जाँच मिली, जो सुरक्षा अर्थ में क्रिप्टोग्राफ़िक हस्ताक्षर सत्यापन का गठन नहीं करता है।
इसके अलावा, शोधकर्ता ने यह भी उल्लेख किया कि अपडेट प्रोग्राम में पुनर्निर्देशन से संबंधित एक और दोष है जिसके कारण इसकी स्वयं की अपडेट प्रक्रिया सामान्य रूप से आगे बढ़ने में विफल हो सकती है। उपरोक्त मुद्दों के आधार पर, मिस्टरब्रुह उपयोगकर्ताओं को वर्तमान एएमडी-संबंधित सॉफ़्टवेयर को पूरी तरह से अनइंस्टॉल करने और संभावित जोखिमों को कम करने के लिए सीधे एएमडी आधिकारिक वेबसाइट से नवीनतम संस्करण डाउनलोड करने की सलाह देता है।
इस घटना ने न केवल एएमडी के स्वचालित अद्यतन तंत्र डिज़ाइन में सुरक्षा जोखिमों को उजागर किया, बल्कि इस बात पर भी चर्चा शुरू कर दी कि बड़े निर्माता सुरक्षा अनुसंधान समूहों के साथ कैसा व्यवहार करते हैं। बाहरी दुनिया के आलोचकों का मानना है कि शुरू में इनाम कार्यक्रम से मुद्दे को बाहर करने से लेकर बाद में प्रकटीकरण को प्रतिबंधित करने के लिए नियमों को संशोधित करने तक, एएमडी की प्रबंधन पद्धति सुरक्षा समुदाय के भेद्यता प्रकटीकरण प्रणाली में विश्वास को नुकसान पहुंचा सकती है।