Ein lästiges Konsolenfenster auf einem neuen Gaming-PC brachte einen Sicherheitsforscher auf eine ernste Spur. Beim Nachforschen stieß er auf eine RCE-Lücke in AMDs Update-Software, die der Konzern zunächst nicht als Problem anerkennen wollte.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDie RCE-Lücke in AMD AutoUpdate ist denkbar einfach zu missbrauchen. Der Forscher MrBruh dekompilierte die Software und entdeckte, dass sie ausführbare Updates über unverschlüsseltes HTTP lädt, ohne die Signatur zu prüfen.
Das Wichtigste in Kürze
- AMDs AutoUpdate lud Programmdateien über HTTP ohne Signaturprüfung, was Angreifern im selben Netz eine Manipulation der Updates erlaubte.
- AMD wies den Bericht Anfang Februar 2026 zunächst als „out of scope“ ab, woraufhin der Forscher die Lücke öffentlich machte.
- Kurz vor Ablauf der Sperrfrist lieferte AMD doch einen Fix und sicherte die Update-Kommunikation per HTTPS samt Signaturprüfung ab.
Wie funktioniert der Angriff?
Manipulation am Update. Die Update-Adresse selbst nutzte zwar HTTPS, die darin gelisteten Download-Links für die Programmdateien jedoch nur HTTP. Ein Angreifer im selben Netzwerk oder ein staatlicher Akteur mit Zugriff auf den Provider kann die Antwort abfangen und durch ein beliebiges Schadprogramm ersetzen.
Das ersetzte Programm läuft anschließend mit den Rechten des Updaters. Die technischen Details samt Zeitleiste hat MrBruh in seinem Blogbeitrag dokumentiert. Solche Lieferketten-Schwächen sind kein Einzelfall, wie unser Überblick zu den Cybersecurity-Grundlagen zeigt.
Warum sorgte der Fall für Kritik?
Erst abgewiesen. AMD schloss die Meldung zunächst als nicht zuständig, ohne einen Patch zu planen. Erst die öffentliche Veröffentlichung brachte Bewegung in den Vorgang. Der Umgang mit dem Forscher stieß in der Sicherheitsszene auf deutliche Kritik.
Am Ende lenkte der Konzern ein. In Ryzen Master wanderte die Update-Funktion vom Installer in die Anwendung, und alle Update-Verbindungen laufen nun über HTTPS mit Signaturprüfung.
Ein Hersteller, der eine triviale Lücke erst abbügelt und dann doch patcht, verspielt Vertrauen. Für Unternehmen zählt die Lehre, jede Auto-Update-Funktion als potenzielles Einfallstor zu behandeln.
— Michael Dobler, Herausgeber Dr. Web
Was sollten Sie jetzt tun?
Software aktualisieren. Auf Rechnern mit AMD-Software gehört der betroffene Updater umgehend auf den neuesten Stand. MrBruh rät, die Programme vollständig zu deinstallieren und die aktuellen Versionen direkt von der AMD-Website zu holen.
Prüfen Sie im Unternehmen, auf welchen Geräten Ryzen Master oder andere AMD-Werkzeuge laufen, und rollen Sie die abgesicherte Version aus. Behandeln Sie Auto-Update-Mechanismen grundsätzlich als Risiko und erlauben Sie nur signierte Quellen über verschlüsselte Verbindungen. Die wachsende Bedrohungslage im Mittelstand belegt unser Beitrag zu KI-Phishing.
