AMD’nin düzeltmeyeceğini söylediği uzaktan kod yürütme (RCE) açığı

 (mrbruh.com)
1 puan yazan GN⁺ 2026-02-07 | 1 yorum | WhatsApp'ta paylaş
  • AMD’nin AutoUpdate yazılımında bir uzaktan kod yürütme (RCE) açığı bulundu ve raporlandı, ancak AMD bunu düzeltmemeye karar verdi
  • Güncelleme yapılandırma dosyasına kaydedilen URL, yürütülebilir dosyaları indirmek için HTTP protokolünü kullanacak şekilde ayarlanmış; bu da MITM (ortadaki adam saldırısı) saldırılarına açık hale getiriyor
  • Yazılım, indirilen dosyanın imza doğrulamasını yapmadan hemen çalıştıracak şekilde tasarlanmış
  • AMD bu sorunu “kapsam dışı (out of scope)” olarak sınıflandırdı ve bir güvenlik açığı olarak kabul etmedi
  • Ağ saldırganlarının kötü amaçlı yürütülebilir dosyalar dağıtabilme riski bulunmasına rağmen, yama sunulmaması güvenlik açısından endişe verici olarak gösteriliyor

AMD AutoUpdate’teki RCE açığının keşif süreci

  • Yeni bir oyuncu bilgisayarında düzenli olarak görünen konsol penceresi sorunu izlenirken, nedenin AMD AutoUpdate yürütülebilir dosyası olduğu doğrulandı
  • Programın decompile edilmesi sırasında tesadüfen bir RCE açığı keşfedildi
  • Güncelleme URL’si app.config dosyasında saklanıyor ve üretim ortamında bile geliştirme (Development) URL’si kullanılıyor
  • Söz konusu URL HTTPS kullanıyor, ancak gerçek yürütülebilir dosya indirme bağlantıları HTTP üzerinden sağlanıyor

Açığın teknik sorunu

  • Yürütülebilir dosyalar HTTP üzerinden indirildiği için, ağ içindeki saldırganlar veya ISP düzeyindeki saldırganlar yanıtı değiştirip bunu kötü amaçlı dosyalarla değiştirebilir
  • AutoUpdate programı indirilen dosyanın sertifika veya imza doğrulamasını yapmıyor
  • Sonuç olarak saldırgan, istediği yürütülebilir dosyayı dağıtabilir ve program bunu hemen çalıştırabilir

AMD’nin yanıtı ve raporlama sonucu

  • Açık keşfedildikten sonra AMD’ye bildirildi, ancak “düzeltilmeyecek (won’t fix)” ve “kapsam dışı (out of scope)” olarak sınıflandırılarak kapatıldı
  • AMD bu açığı bir güvenlik sorunu olarak görmüyor
  • Raporlama ve açıklama takvimi şöyle
    • 27/01/2026: Açık keşfedildi
    • 05/02/2026: AMD’ye raporlandı
    • 05/02/2026: “wont fix/out of scope” olarak kapatıldı
    • 06/02/2026: Blog yazısı yayımlandı

Güvenlik etkileri

  • HTTP tabanlı güncelleme yapısı ve imza doğrulamasının olmaması, kullanıcı sistemlerini uzaktan kod yürütme saldırılarına maruz bırakabilir
  • AMD’nin bu sorunu düzeltmeme kararı, güvenlik topluluğu içinde tartışma yaratma potansiyeli taşıyor
  • Ağ saldırganlarının varlığı halinde, kötü amaçlı yazılım dağıtım yolu olarak kötüye kullanılma riski bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-07
Hacker News görüşleri

  • Linux'un tüm sürücüleri paket halinde sunmasının iyi yanı, düşük kaliteli ya da casus yazılım benzeri sürücü yönetim yazılımlarını kurma gereğini ortadan kaldırmasıdır
    Bu tür programları sandbox içine almak zordur ve güvenlik açısından risklidir
    İlginç olan, ücretsiz çalışan dağıtım yöneticilerinin, milyarlarca dolarlık donanım satıcılarından güvenlik konusunda çok daha yetkin görünmesidir

    • Donanım satıcıları güvenlik konusunda yetersiz değil, sadece öncelikleri farklı
      Dağıtım yöneticileri güvenliğe önem verirken, satıcılar için yeni nesil donanımı hızlıca piyasaya sürmek daha önemlidir
      Sonuçta iki grubun hedefleri farklıdır
    • Bu kalitenin, Linus'un kurduğu yapı ve ona katılan sayısız katkıcı sayesinde korunduğunu düşünüyorum
      Az sayıda etkili insan sessizce iyi işler yapıyor
      Haberlere çıkmayan insanların asıl yetenekli kişiler olduğunun bir işareti bence bu
    • Ryzen Master bir sürücü değil
      Özelliklerinin çoğu Linux'ta kullanılamaz
    • Asıl yazıdaki sorunun Windows ile ilgili bir konu olup olmadığı net değil
    • Son zamanlarda satıcılar, yerel bir web sunucusu çalıştırıp tarayıcı tabanlı olarak donanımı kontrol etme modeline geçiyor; bu da güvenlik açısından korkunç bir fikir gibi geliyor

  • Ben tüm HTTP trafiğini engelliyorum
    Sadece AMD değil, Gigabyte, ASUS gibi firmalarda da HTTP erişimi yoksa otomatik güncelleme başarısız oluyor
    İlgili Reddit başlığı da bu sorunu ele alıyor
    Şifrelenmemiş HTTP istekleri hem bir gizlilik sızıntısıdır hem de potansiyel bir MITM saldırı vektörüdür
    TLS yığını çok daha zor hedef alınır

    • Yük imzalıysa HTTP ya da HTTPS olması güven düzeyini çok değiştirmez
      Sonuçta güvenilen şey istemcinin imza doğrulama kodudur; bu da GPG'ye güvenmekten farklı değildir
    • Ama bu durumda CRL ya da OCSP sorguları bozulmuş olmuyor mu?
    • Birçok Linux paket deposu da hâlâ yalnızca HTTP kullanıyor
      Kurulu paket sürümlerini izlemek için kullanışlı ama güvenlik açısından rahatsız edici

  • Bu gerçekten ciddi bir sorun
    HTTP yönlendirmesi kullanılarak rastgele kod çalıştırma mümkün ve bu tür programlar sayısız PC'ye kurulu
    Havalimanında sadece bir Wi‑Fi hotspot açarak ATI grafik kullanıcılarına anında saldırabilecek durumdasınız

    • Benim ülkemde bunu yaparsan tutuklanırsın
      Yani tek önleme yöntemi yasal yasak gibi duruyor
    • Elbette kötü bir şey ama bu yalnızca bir güncelleme olduğunda çalışır
      Yani ancak VPN olmadan riskli bir hotspot'a bağlıysanız, AMD yakın zamanda bir güncelleme dağıttıysa ve zamanlayıcı çalıştığında geçerlidir
    • Kim tanımadığı birinin hotspot'una bağlanır ki?
      Ama yerel ISP kötü niyetliyse saldırı çok daha kolay olur
    • Ben otomatik güncellemeleri kapatıp kullanıyorum
      Win98 günlerinden beri otomatik güncellemenin en aptalca özellik olduğunu düşünüyorum

  • DNS'i bir kez zehirlemek bile saldırı için yeterli
    Örneğin router ele geçirilip yanlış IP döndürürse HTTP trafiğine kötü amaçlı ikili dosya enjekte edilebilir
    HTTPS olduğu gibi geçer ama HTTP savunmasızdır
    Varsayılan yönetici şifresini kullananlar hemen değiştirmeli
    Saldırganlar DHCP spoofing ya da sahte Wi‑Fi ile de aynı şeyi yapabilir

    • SSID spoofing veya sinyal jamming ile kullanıcıyı kötü amaçlı Wi‑Fi'a bağlamak çok kolaydır
    • Sadece DNS yanıtını daha önce göndermek bile saldırı için yeterlidir

  • AMD'nin bu sorunu bug bounty kapsamı dışında diyerek reddetmesini anlamak zor
    Tek bir müşteri kaybı bile bounty'den daha pahalıya mal olabilir; belgelerdeki kapsamı bahane edip güvenliği görmezden gelmek yanlış bir sinyal verir
    Bu tavır, hacker'ların gelecekte AMD'ye bildirim yapmamasına yol açacaktır

    • Aslında AMD'ye bu sorun birkaç kez bildirilmiş
      Bu yüzden kapsam içinde olsa bile ödül verilmesi garip olurdu

  • Bu basit bir hata değil, güvenlik bildirim sürecinin başarısızlığı
    Büyük şirketlerin güvenlik ekipleri AMD donanımı ya da güncelleme uygulamalarını yasaklamayı tartışacak noktaya gelebilir
    Eğer CVE olarak kaydedilseydi haberlere çıkacak kadar büyük bir olay olurdu
    Saldırganlar ortak Wi‑Fi ağlarında ya da ISP tarafında HTTP trafiğini izleyip çalıştırılabilir dosyaları enfekte edebilir

    • CVE talebinde herkes bulunabilir; bu da sonunda düzeltmeye götüren tek yol olabilir

  • AMD bunun bir zafiyet olmadığını söylemedi, sadece bug bounty kapsamı dışında olduğunu söyledi

    • Ama uzaktan yetki yükseltmeye yol açabilen bir zafiyeti görmezden gelmenin savunulacak bir yanı yok
      Saldırgan açısından “kapsam dışı” diye bir kavram yokken, AMD bunu politika haline getirmiş durumda
      Bu açıkça güvenlik açısından sorumsuz bir politika
    • Hatta neredeyse AMD'nin kapsam belgesinin kendisi hatalı denecek bir durum

  • Bu son derece ciddi bir zafiyet
    “MitM gerekiyor” diye hafife alınmamalı
    İnternetin kendisi zaten bir MitM ortamı

    • Aslında MitM bile gerekmiyor
      Kötü amaçlı bir DHCP sunucusu DNS'i manipüle etse bile saldırı mümkün

  • AMD'nin bildirimin ardından bir gün içinde bunu “out of scope / won't fix” diye kapatması fazla aceleci
    Bu yalnızca bug bounty kanalının dışında kaldığı anlamına gelir; gerçekten düzeltmeyecekleri anlamına gelmeyebilir

  • Benim PC'mde AMD AutoUpdate terminali her gece yarısı açılıyor ve kapatmam gerekiyor
    Artık tamamen engelleyip manuel güncellemeye dönmek için bir nedenim var

    • Ha, demek o pencere buydu! Günlerdir nedenini arıyordum
    • Eskiden Windows kullanırken o konsol penceresi saatlerce takılı kalıyordu
      Sonunda kapatırsam bir sonraki açılışta sürücü kayboluyor ve yeniden kurmam gerekiyordu
      Kullandıklarım arasında en kötü otomatik güncelleme programıydı