AMD steht nach einem Bericht von Tom’s Hardware in der Kritik, weil ein Sicherheitsforscher trotz gemeldeter und später behobener Schwachstelle im Auto-Updater keine erwartete Bug-Bounty-Prämie von 10.000 US-Dollar erhalten hat. Die Lücke soll eine Remote-Code-Ausführung über einen Man-in-the-Middle-Angriff ermöglicht haben. Besonders heikel: Bis zur Bereitstellung des Fixes vergingen laut Bericht 124 Tage. AMD soll die Zahlung verweigert haben, weil der gemeldete Angriff nicht unter die Regeln des eigenen Bug-Bounty-Programms gefallen sei.
Was Ist Passiert?
Der Sicherheitsforscher Paul hatte Anfang 2026 eine Schwachstelle in AMDs Auto-Updater entdeckt. Dem Bericht zufolge konnte die Update-Komponente Treiber oder Softwarepakete über unsichere Verbindungen laden. Ein Angreifer, der sich zwischen Nutzer und Server schaltet, hätte dadurch potenziell manipulierte Dateien ausliefern können. In einem ungünstigen Szenario wäre so eine Remote Code Execution möglich gewesen, also das Ausführen fremden Codes auf dem betroffenen System.
Paul meldete den Fund über AMDs Bug-Bounty-Programm und erwartete nach eigener Darstellung eine Belohnung, da die Schwachstelle in ihrer Wirkung schwerwiegend war. AMD lehnte die Auszahlung jedoch ab. Der Grund: Man-in-the-Middle-Angriffe seien laut Programmpolicy nicht vom Bounty-Rahmen abgedeckt. Trotzdem bat AMD den Forscher offenbar, seinen öffentlichen Blogbeitrag vorübergehend zu entfernen, während das Unternehmen an einer Lösung arbeitete.
124 Tage Bis Zum Patch Sorgen Für Kritik
Ein weiterer Streitpunkt ist die Dauer bis zur Behebung. Paul soll zunächst einer verlängerten Sperrfrist zugestimmt haben. Statt der branchenüblichen 90 Tage war von einem Zeitraum von 100 Tagen die Rede. AMD habe später zusätzlichen Aufschub benötigt, weil mehrere Tools betroffen seien und die Fixes gemeinsam bereitgestellt werden sollten. Am Ende wurde die Schwachstelle laut Tom’s Hardware erst am 9. Juni behoben, also 124 Tage nach der ursprünglichen Meldung.
Für Sicherheitsforscher ist dieser Ablauf problematisch. Responsible Disclosure funktioniert nur, wenn beide Seiten Vertrauen aufbauen: Der Forscher gibt dem Hersteller Zeit, die Lücke zu schließen, und der Hersteller nimmt die Meldung ernst, kommuniziert transparent und belohnt im Idealfall den Beitrag zur Sicherheit. Wenn eine kritische Lücke nach Monaten geschlossen wird, aber keine Prämie gezahlt wird, kann das andere Forscher davon abhalten, ähnliche Funde künftig kooperativ zu melden.
- Betroffen war AMDs Auto-Updater für Treiber- und Softwarepakete.
- Die Schwachstelle soll über einen MITM-Angriff ausnutzbar gewesen sein.
- Der Forscher erwartete eine 10.000-Dollar-Bounty.
- AMD lehnte die Auszahlung wegen Programmausschlüssen ab.
- Der Fix soll nach 124 Tagen veröffentlicht worden sein.
Warum Der Fall Für AMD Unangenehm Ist
Technisch ist der Fall deshalb brisant, weil Auto-Updater besonders vertrauenswürdige Komponenten sind. Nutzer erwarten, dass ein Update-Tool ausschließlich geprüfte und sichere Dateien lädt. Wenn ausgerechnet ein Updater unsichere Downloadpfade nutzt, entsteht ein erhebliches Risiko. Solche Tools laufen oft mit erhöhten Rechten oder installieren Systemkomponenten, weshalb manipulierte Downloads besonders gefährlich sein können.
AMD soll den Download-Code inzwischen überarbeitet haben. Laut Tom’s Hardware wurde jedoch kritisiert, dass weiterhin eine ältere Prüfmethode wie CRC32 zur Validierung erwähnt wird, die nicht als kryptografisch sicher gilt. Zudem soll ein Reddit-Nutzer darauf hingewiesen haben, dass der betroffene Code womöglich gar nicht korrekt ausgeführt wurde, weil der Updater ohnehin beschädigt gewesen sei. Das macht den Fall zusätzlich kurios: Der Update-Mechanismus könnte ausgerechnet deshalb weniger gefährlich gewesen sein, weil er nicht richtig funktionierte.
Bug-Bounty-Regeln Und Sicherheitsrealität Prallen Aufeinander
Aus Unternehmenssicht sind klare Bug-Bounty-Regeln verständlich. Programme müssen definieren, welche Angriffsszenarien bezahlt werden und welche nicht. Gleichzeitig zeigt dieser Fall, wie groß die Lücke zwischen formaler Policy und realer Sicherheitswirkung sein kann. Eine Schwachstelle kann praktisch gefährlich sein, auch wenn ein bestimmter Angriffsweg in den Regeln ausgeschlossen ist.
Gerade bei großen Hardware- und Softwareherstellern ist der Umgang mit Forschern entscheidend. Wenn Sicherheitsmeldungen zwar zur Fehlerbehebung führen, aber nicht anerkannt oder vergütet werden, entsteht ein schlechtes Signal. Für AMD kommt der Fall zu einem ungünstigen Zeitpunkt, weil Vertrauen in Treiber, Update-Tools und Plattformsoftware für PC-Nutzer besonders wichtig ist.
Fazit
Der Fall rund um AMDs Auto-Updater zeigt, wie schwierig der Umgang mit Sicherheitsforschung werden kann. Einerseits hat AMD die gemeldete Schwachstelle offenbar behoben. Andererseits sorgen die verweigerte 10.000-Dollar-Bounty, die lange Patch-Dauer und die Diskussion um den Umgang mit dem Forscher für deutliche Kritik. Für Nutzer ist vor allem wichtig, aktuelle AMD-Softwareversionen zu installieren. Für AMD bleibt die größere Aufgabe, sein Bug-Bounty-Programm und die Kommunikation mit Sicherheitsforschern nachvollziehbarer zu gestalten.
Häufige Fragen
Welche AMD-Schwachstelle Wurde Gemeldet?
Es ging um eine Schwachstelle im AMD-Auto-Updater, die laut Bericht über einen Man-in-the-Middle-Angriff manipulierte Downloads und potenziell Remote-Code-Ausführung ermöglichen konnte.
Warum Bekam Der Forscher Keine 10.000 Dollar?
AMD soll die Zahlung abgelehnt haben, weil MITM-Angriffe laut Programmpolicy nicht vom Bug-Bounty-Programm abgedeckt waren.
Wie Lange Dauerte Der Patch?
Laut Tom’s Hardware dauerte es 124 Tage, bis AMD den Fix für die Schwachstelle bereitstellte.
Was Sollten Nutzer Jetzt Tun?
Nutzer sollten AMDs aktuelle Software- und Treiberpakete installieren, da der Auto-Updater laut Bericht inzwischen überarbeitet wurde.
Hervorgehobenes Snippet
AMD verweigerte einem Forscher eine 10.000-Dollar-Bug-Bounty, obwohl eine kritische Auto-Updater-Lücke nach 124 Tagen geschlossen wurde.
Kommentar der Redaktion
Der Fall ist für AMD weniger wegen der Existenz der Schwachstelle unangenehm, sondern wegen des Umgangs damit. Sicherheitslücken passieren auch großen Unternehmen. Entscheidend ist, wie schnell und transparent sie darauf reagieren.
Wenn ein Forscher kooperiert, einen Beitrag löscht, längere Fristen akzeptiert und am Ende trotzdem keine Anerkennung erhält, wirkt das aus Community-Sicht wenig motivierend. Bug-Bounty-Programme leben davon, dass Forscher darauf vertrauen können, fair behandelt zu werden.
Für Nutzer bleibt die technische Seite am wichtigsten: Update-Tools müssen besonders sicher sein. Ein fehlerhafter Auto-Updater ist kein kleines Randproblem, sondern betrifft die Vertrauenskette zwischen Hersteller und System. Genau hier sollte AMD künftig schneller und klarer handeln.
Quellen
- Tom’s Hardware: AMD denies researcher a $10,000 bug bounty after fixing auto-updater vulnerability
- TechSpot: AMD changes rules, denies researcher $10,000 bounty
- Gadget Review: AMD Stiffs Researcher $10,000 Bug Bounty
- AMD Product Security: Bug Bounty und Sicherheitsmeldungen
