A AMD corrigiu uma vulnerabilidade grave em seu software de atualização automática de drivers, mas teria deixado o pesquisador de segurança responsável pela descoberta de mãos abanando. A empresa recusou o pagamento de US$ 10 mil (~R$ 50 mil) com base nas regras do seu programa de recompensas, mesmo após pedir mais de quatro meses de sigilo para conseguir resolver o problema.
A falha reportada pelo pesquisador conhecido como Paul poderia permitir a execução remota de código (RCE) através de um ataque do tipo man-in-the-middle (MITM). Segundo o relato publicado em seu blog, a AMD negou a recompensa financeira e argumentou que ataques MITM estão fora do escopo oficial do seu programa de bug bounty.
Apesar da recusa, a fabricante pediu que Paul removesse temporariamente a publicação sobre a brecha. O pesquisador aceitou o acordo em troca da emissão de um CVE padrão, da correção do software e do devido crédito pela descoberta.
