Une vulnérabilité d’exécution de code à distance (RCE) qu’AMD a décidé de ne pas corriger

 (mrbruh.com)
1 points par GN⁺ 2026-02-07 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Une vulnérabilité d’exécution de code à distance (RCE) a été découverte et signalée dans le logiciel AutoUpdate d’AMD, mais AMD a décidé de ne pas la corriger
  • L’URL stockée dans le fichier de configuration de mise à jour utilise le protocole HTTP pour télécharger des exécutables, ce qui l’expose à une attaque MITM (homme du milieu)
  • Le logiciel est conçu pour exécuter immédiatement les fichiers téléchargés sans vérifier leur signature
  • AMD a classé ce problème comme « hors périmètre (out of scope) » et ne le reconnaît pas comme une vulnérabilité de sécurité
  • Bien qu’il existe un risque qu’un attaquant réseau puisse distribuer un exécutable malveillant, l’absence de correctif est pointée comme une préoccupation de sécurité

Découverte de la vulnérabilité RCE dans AMD AutoUpdate

  • En cherchant l’origine d’une fenêtre console qui apparaissait périodiquement sur un nouveau PC gaming, il a été confirmé que la cause était l’exécutable AMD AutoUpdate
  • Lors de la décompilation du programme, une vulnérabilité RCE a été découverte par hasard
  • L’URL de mise à jour est stockée dans le fichier app.config, et même en production, c’est une URL de développement (Development) qui est utilisée
  • Cette URL utilise HTTPS, mais les liens de téléchargement des exécutables pointent en réalité vers HTTP

Problèmes techniques de la vulnérabilité

  • Comme les exécutables sont téléchargés via HTTP, un attaquant présent sur le réseau ou au niveau du FAI peut modifier la réponse et la remplacer par un fichier malveillant
  • Le programme AutoUpdate ne vérifie ni le certificat ni la signature des fichiers téléchargés
  • En conséquence, un attaquant peut distribuer un exécutable arbitraire, que le programme peut lancer immédiatement

Réponse d’AMD et résultat du signalement

  • Après la découverte, la vulnérabilité a été signalée à AMD, mais le dossier a été clôturé comme « won’t fix » et « hors périmètre (out of scope) »
  • AMD ne considère pas cette vulnérabilité comme un problème de sécurité
  • Le calendrier du signalement et de la publication est le suivant
    • 27/01/2026 : découverte de la vulnérabilité
    • 05/02/2026 : signalement à AMD
    • 05/02/2026 : clôture en « wont fix/out of scope »
    • 06/02/2026 : publication du billet de blog

Implications en matière de sécurité

  • Une architecture de mise à jour reposant sur HTTP et l’absence de vérification de signature peuvent exposer les systèmes des utilisateurs à des attaques d’exécution de code à distance
  • La décision d’AMD de ne pas corriger ce problème laisse entrevoir une possible controverse au sein de la communauté sécurité
  • En présence d’un attaquant réseau, il existe un risque d’exploitation comme vecteur de distribution de malware

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.