AMD被指拖延四个月修补漏洞 事后改规则拒付一万美元漏洞奖金 - AMD (opens in new tab)

MrBruh于1月27日发现漏洞，并在2月6日通过AMD的漏洞奖励计划正式提交报告。 AMD方面随后却以该问题属于“计划范围之外”为由关闭了报告，理由是这涉及中间人攻击场景且影响的是“可选工具”，因此不予发放奖金。 然而，此后该漏洞被正式编号为CVE-2026-40677，并获得CVSS 4.0 7.7分的评分，表明其严重程度并不低。 从报告到修补和解禁的全过程持续了124天，披露禁令于6月9日结束。在AMD初步否定之后，MrBruh公开发表了技术分析文章，引发Hacker News等社区关注。 随着舆论发酵，AMD内部的产品安全事件响应团队（PSIRT）重新与他取得联系，表示问题仍在评估中，并要求其暂时下架公开文章，称其披露行为似乎不符合漏洞奖励计划的相关条款。目前，AMD在其官方安全公告中已公开承认这一漏洞的存在，并在文中对MrBruh给予了署名致谢。 公告称，AMD Ryzen Master 2.14.3、AMD µProf 5.3以及 AMD Management Console 14.0.0 等版本已经完成缓解。 AMD对研究员表示，现在所有更新通信已全面改用HTTPS...