- El investigador Paul encuentra RCE a través de MITM en el actualizador automático de AMD, pero niega la recompensa
- AMD impuso restricciones ampliadas y luego cambió las reglas de divulgación después de las críticas
- La comunidad de seguridad ha respondido, diciendo que la nueva política desalienta la transparencia y devalúa a los investigadores.
Un investigador de seguridad descubrió una vulnerabilidad de ejecución remota de código (RCE) en un producto AMD, pero la compañía supuestamente le negó la recompensa por errores prometida por tal hallazgo.
En febrero de 2026, un investigador llamado Paul descubrió una posible falla RCE en el software de actualización automática de AMD a través de un ataque de intermediario (MITM). Informó esto a AMD y publicó una publicación en el blog sobre sus hallazgos.
Sin embargo, AMD dijo que los ataques MITM no estaban cubiertos por la donación (a pesar de que fue un error de RCE) y pidió al investigador que desconectara el blog, lo cual hizo.
Google presentó una demanda
La empresa solicitó una prohibición de 100 días por dar la noticia, ya que el equipo adicional también era supuestamente vulnerable. Luego, la prohibición expira en 124 días, mucho más que el período habitual de 90 días.
En su composición, Hardware de Tom Sostiene que la denegación de la recompensa de 10.000 dólares reservada únicamente para tales errores merece una reconsideración.
AMD solucionó el problema rediseñando el código de descarga en el actualizador automático, pero luego surgió otro problema: el actualizador estaba realmente roto y no podía actualizarse por sí solo.
Para empeorar las cosas, después de que se supo que le había negado una subvención al investigador, AMD supuestamente actualizó sus reglas de divulgación de recompensas por errores para ampliar los requisitos de no divulgación para cubrir errores considerados fuera de alcance. De acuerdo a punto tecnológicoLos críticos “notaron inmediatamente que esto parecía ser una respuesta directa a la crítica pública más que una política preexistente”.
La misma publicación también afirmó que la comunidad de seguridad “rechazó con fuerza”, ya que el cambio efectivamente “dice a los posibles investigadores que incluso si una recompensa por error queda fuera del alcance, no pueden revelarla públicamente de inmediato, eliminando una de las únicas herramientas que tienen los investigadores para presionar a las empresas para que tomen sus hallazgos en serio”.
en RedditLa comunidad discute si AMD “valora a los investigadores que la identifican con vulnerabilidades críticas”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
