Egy független biztonsági kutató a Ryzen Master szoftverben fedezett fel egy súlyos biztonsági rést, amely lehetővé tette a man-in-the-middle támadásokat a szoftver automatikus frissítésének sérülékenysége miatt. A sebezhetőség lehetőséget adott illetékteleneknek, hogy kártékony kódot juttassanak a felhasználók számítógépére, miközben azok a hivatalos frissítési csatornát használták.
Az érintett kutató már hónapokkal korábban jelentette a problémát az AMD-nek, de a vállalat először figyelmen kívül hagyta a bejelentést, azzal az indokkal, hogy a hiba kívül esik a bug bounty program hatókörén. Amikor a kutató ezt nyilvánosságra hozta, egyre több felhasználó kezdett kérdéseket feltenni az AMD-vel szemben, ami nyomást helyezett a cégre.
Az AMD reakciója vitatottá vált: egyesek szerint a vállalat igyekezett eltussolni vagy bagatellizálni a problémát, miközben utólagosan módosította saját szabályzatait, hogy a kutatót hozza hátrányos helyzetbe. Emellett 124 napba telt, mire a hibát végül javították, ez jóval több, mint az iparági 90 napos standard reagálási idő.
A videóban több kérdés is felmerül: Miként kellene a gyártóknak kommunikálni a biztonsági bejelentésekről? Mi a helyes eljárás kutatók és cégek részéről egy-egy biztonsági rés nyilvánosságra hozatala előtt? Hogyan lehet biztosítani az átláthatóságot és a végfelhasználók megfelelő tájékoztatását ilyen esetekben?
A tartalom ezen kívül rávilágít arra is, hogy a hibajavítások során a hivatalos közlemények mennyire fedik a valóságot – például a javítási eljárások és a kommunikált biztonsági szint tényleges megfelelése. Az AMD esetében különösen az bír figyelemre, hogy a felhasználókat nem tájékoztatták világosan a szükséges lépésekről a javítás telepítéséhez.
