AMD 自动更新工具藏 RCE 漏洞
推荐指数 60.0 NO. 015 · 2026.06.12
发布2026/06/11Score149Comments42
为什么值得看
安全研究者逆向 AMD AutoUpdate 软件时发现,该工具从可篡改的 app.config 读取更新 URL,且存在不验证签名的代码执行路径,导致攻击者可劫持更新实现远程代码执行。AMD 接到报告后拒绝修复,目前漏洞仍存在于生产环境。
媒体预览
编辑判断
这个漏洞的杀伤链很短:config 文件无完整性保护 + 更新包不验签,意味着本地恶意软件或网络中间人都能直接植入代码。更麻烦的是 AMD 的"不修复"态度——这往往不是技术判断,而是合规团队评估后的商业决策,暗示类似问题可能在其他 OEM 工具链中普遍存在。
对 AI 工程师的直接影响:如果你在用 AMD ROCm 做训练或推理,检查环境里是否有 AutoUpdate 服务在跑;做 MLOps 基础设施的团队,建议把 OEM 自动更新纳入供应链审计清单,别让它成为集群里的隐蔽入口。
社区反馈
负面 42 条评论
核心争论:MITM 是否算漏洞修复范围,AMD 拒绝修复是技术判断还是成本推诿
It's ridiculous to consider MITM attacks out of scope for taking over your computer. Also, there are probably ways to exploit this without a true MITM like DNS cache poisoning. But it's best to just assume the whole internet is MITMed.
Out of scope does not necessarily mean out of impact. It is merely a question of how far a company wants to be responsible for the environment their software is run in. Most of the time that answer is "not much."
But I use a Wi-Fi password, so my phone says it's secure!