Különös és nem éppen hízelgő történet miatt került reflektorfénybe az AMD, melynek főszereplője egy Paul néven ismert biztonsági szakember, aki még februárban talált problémát az AMD automatikus frissítési rendszerében. A Tom's Hardware beszámolója szerint a sérülékenység elméletileg lehetőséget adhatott volna arra, hogy egy támadó egy úgynevezett közbeékelődéses támadás során rosszindulatú kódot juttasson a felhasználó gépére. Az ilyen távoli kódfuttatást lehetővé tevő hibák általában a legsúlyosabb kategóriába tartoznak a hibavadász programokban, ezért Paul arra számított, hogy a javítás mellett a vállalat a meghirdetett jutalmat is kifizeti.
Az AMD azonban másképp látta a helyzetet. A cég arra hivatkozott, hogy a hibavadász program szabályzata nem terjed ki az ilyen típusú támadásokra, ezért pénzjutalomról szó sem lehet. Ugyanakkor arra kérték a kutatót, hogy ideiglenesen távolítsa el a hibát részletesen bemutató blogbejegyzését, cserébe pedig vállalták a sérülékenység javítását, egy hivatalos CVE-azonosító kiadását és azt, hogy a felfedezést az ő nevéhez kötik.
Paul beleegyezett az együttműködésbe, bár utólag saját bevallása szerint megbánta a döntést. Különösen azért, mert az AMD nem tudott egyértelmű határidőt mondani a javítás elkészültére. A kutató eredetileg a biztonsági iparágban széles körben elfogadott 90 napos nyilvánosságra hozatali időszakot javasolta, a vállalat azonban ennél hosszabb türelmet kért. Indoklásuk szerint nem csak a Ryzen Master alkalmazás érintett, hanem több más eszköz is ugyanazt a hibás megoldást használja.
Ez több kérdést is felvetett. A kutató szerint nehezen érthető, miért igényel hónapokat egy olyan probléma javítása, amely látszólag mindössze annyiból állt, hogy egy HTTP kapcsolatot HTTPS-re kell cserélni a kódban. Ha pedig valóban több terméket érintő, jelentős biztonsági kockázatról volt szó, akkor az szerinte indokolta volna a jutalom kifizetését is.
A felek végül 100 napos embargóban állapodtak meg, de amikor a határidő lejárta közeledett, az AMD újabb haladékot kért. A vállalat ismét arra hivatkozott, hogy több alkalmazást kell javítaniuk, és az ügyfeleknek is időre van szükségük a frissítések telepítéséhez. A végső javítás végül június 9-én érkezett meg, vagyis 124 nappal az eredeti bejelentés után.
A pozitívum, hogy az AMD nem egyszerűen foltozta a problémát, hanem a beszámolók szerint teljesen átdolgozta a letöltési folyamatot az automatikus frissítőben. Paul ellenőrizte az új verzió működését, és arra jutott, hogy a program immár biztonságos csatornán tölti le a frissítéseket. Ugyanakkor megjegyezte, hogy az integritás ellenőrzésére továbbra is a CRC32 algoritmust használja a szoftver, amelyet a szakma már régóta nem tekint korszerű, kriptográfiailag biztonságos megoldásnak.
A történet legironikusabb része azonban csak ezután következett. Egy Reddit-felhasználó szerint ugyanis könnyen lehet, hogy a kutató által felfedezett sérülékenység a gyakorlatban eleve nem volt kihasználható, mert a kérdéses kódrészletet az alkalmazás soha nem hívta meg. Magyarán az automatikus frissítő frissítési funkciója nem működött megfelelően, így a hibás kód sem futott le. Ez egyben azt is jelentette, hogy az AMD nem tudta egyszerűen az automatikus frissítőn keresztül javítani az automatikus frissítőt, a felhasználóknak új verziót kellett letölteniük.
