AMD का वह remote code execution (RCE) vulnerability जिसे कंपनी ने ठीक न करने का फैसला किया

 (mrbruh.com)
1 पॉइंट द्वारा GN⁺ 2026-02-07 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • AMD के AutoUpdate software में remote code execution (RCE) vulnerability पाई गई और रिपोर्ट की गई, लेकिन AMD ने इसे ठीक न करने का निर्णय लिया
  • update configuration file में stored URL, executable file डाउनलोड करने के लिए HTTP protocol का उपयोग करता है, जिससे यह MITM (man-in-the-middle attack) के लिए असुरक्षित है
  • software की संरचना ऐसी है कि वह downloaded file की signature verification किए बिना उसे तुरंत execute कर देता है
  • AMD ने इस समस्या को “out of scope” के रूप में वर्गीकृत किया और इसे security vulnerability के रूप में स्वीकार नहीं किया
  • नेटवर्क attacker द्वारा malicious executable वितरित किए जाने का जोखिम मौजूद होने के बावजूद, patch उपलब्ध न कराया जाना security concern के रूप में देखा जा रहा है

AMD AutoUpdate में RCE vulnerability मिलने की प्रक्रिया

  • नए gaming PC पर समय-समय पर दिखाई देने वाली console window की समस्या को ट्रैक करते हुए यह पुष्टि हुई कि कारण AMD AutoUpdate executable था
  • program को decompile करने की प्रक्रिया में संयोग से RCE vulnerability का पता चला
  • update URL app.config file में stored है, और production environment में भी development URL इस्तेमाल किया जा रहा है
  • संबंधित URL HTTPS का उपयोग करता है, लेकिन वास्तविक executable download links HTTP पर हैं

vulnerability की तकनीकी समस्या

  • executable file को HTTP के जरिए डाउनलोड किए जाने के कारण, network के भीतर का attacker या ISP स्तर का attacker response में छेड़छाड़ कर उसे malicious file से बदल सकता है
  • AutoUpdate program downloaded file के certificate या signature की verification नहीं करता
  • नतीजतन attacker arbitrary executable वितरित कर सकता है, और program उसे तुरंत execute कर सकता है

AMD की प्रतिक्रिया और रिपोर्ट का परिणाम

  • vulnerability मिलने के बाद AMD को रिपोर्ट किया गया, लेकिन इसे “won’t fix” और “out of scope” के रूप में वर्गीकृत कर बंद कर दिया गया
  • AMD इस vulnerability को security issue नहीं मानता
  • रिपोर्ट और खुलासे की timeline इस प्रकार है
    • 27/01/2026: vulnerability की खोज
    • 05/02/2026: AMD को रिपोर्ट
    • 05/02/2026: “wont fix/out of scope” के रूप में बंद
    • 06/02/2026: blog post प्रकाशित

सुरक्षा प्रभाव

  • HTTP-आधारित update संरचना और signature verification की अनुपस्थिति उपयोगकर्ता सिस्टम को remote code execution हमलों के सामने ला सकती है
  • AMD का इस समस्या को ठीक न करने का फैसला security community में विवाद की संभावना को जन्म दे सकता है
  • यदि network attacker मौजूद हो, तो malware distribution path के रूप में दुरुपयोग का जोखिम है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.