安全研究人员发现 AMD 驱动更新为 HTTP，存在中间人篡改攻击风险

2 月 7 日消息，安全研究员保罗（Paul）发现，AMD 在 Windows 平台上的驱动程序自动更新程序存在高危安全漏洞，可能允许攻击者通过中间人攻击（MITM）植入恶意软件。

简单来说，当检测到可用更新后，AMD 驱动更新器会通过未加密 HTTP 连接下载更新包，可能使攻击者通过劫持 ati.com 域名或下载内容，从而实现远程代码执行（更新进程具备管理员权限）。

保罗称其已向 AMD 提交漏洞报告，但对方回复较为模板化，仅称“中间人攻击不在范围内”，暗示该问题可能不会被修复。

保罗进一步描述其技术分析过程称，他在新购置的 PC 上注意到系统会无故弹出一个控制台窗口，随后追踪发现与 AMD 自动更新器有关。他随后对该软件进行逆向，并找到了更新器获取可用更新列表的链接。该链接的命名中出现了“Devlpment”字样。据称，AMD 虽然更新列表是通过 HTTPS 链接请求获取的，但实际下载驱动包时使用的是标准 HTTP 链接，而非 HTTPS。

他表示，目前难以判断这种更新分发方式持续了多久。他在分析中提到，相关自动更新器可能可追溯至 2017 年左右，但无法确定当前下载处理逻辑何时被投入使用。

截至发稿时，AMD 方面仍未就此提供进一步回应，目前尚不清楚 AMD 是否已直接验证该漏洞。另外，保罗博客文章“因收到请求”被下架，虽然他本人澄清“下架是暂时的”，但该事件仍在网上引发广泛关注。