Luka w procesorach AMD. Firma pracuje nad wyeliminowaniem problemu i dzieli się tymczasowym rozwiązaniem

Niedawno odkryta w nowych procesorach AMD luka została sklasyfikowana jako wysoce niebezpieczna (ocena 7,2 w systemie CVSS) i otrzymała oznaczenie CVE-2025-62626. Przedsiębiorstwo poinformowało, że jest świadome istnienia bolączki i obecnie pracuje nad jej wyeliminowaniem. W międzyczasie posiadacze procesorów dotkniętych przez problem zostali zachęceni do podjęcia kilku kroków mających zapobiec wykorzystaniu błędu przez osoby o niecnych zamiarach, które z jego pomocą mogą dostać się do wybranego komputera i znajdujących się na nim aplikacji.

Jak możemy przeczytać w komunikacie wystosowanym przez AMD, opisywany błąd dotyczy procesorów bazujących na architekturze Zen 5 i jest bezpośrednio związany z instrukcją RDSEED mającą zastosowanie w kryptografii. W wyniku uchybienia RDSEED "zwraca wartość 0 z częstotliwością niezgodną z losowością, jednocześnie nieprawidłowo sygnalizując powodzenie (CF=1)". Oznacza to, że niepowodzenie może zostać błędnie sklasyfikowane jako sukces, to zaś niesie ze sobą kilka nieprzyjemnych reperkusji.

Jako że RDSEED to instrukcja procesora, która odpowiada za "pobierania wysokiej jakości, prawdziwie losowych danych ze wbudowanego sprzętowego generatora liczb losowych", wykorzystywana jest ona celem inicjowania generatorów liczb pseudolosowych oraz innych zastosowań wymagających dużej entropii. Błąd w RDSEED jest w stanie doprowadzić do generowania przewidywalnych kluczy kryptograficznych, a w rezultacie – ułatwienia ataku na aplikacje korzystające z tych ciągów znaków.

AMD podkreśliło, że usterka dotyczy 16-bitowej i 32-bitowej wersji instrukcji RDSEED, z kolei jej 64-bitowa odsłona działa poprawnie. Warto przypomnieć, iż z problemem borykają się procesory Zen 5, do których grona zaliczają się m.in. Ryzeny 9000 i 9000HX wraz z wersją Threadripper. Prócz tego ucierpieć mogą CPU z serii AI 300, AI Z2 oraz EPYC 9005. Pełną listę procesorów wraz ze spodziewanymi datami wydania poprawki znajdziemy w sekcji "Produkty objęte wpływem i sposoby łagodzenia skutków" na stronie AMD.

Będąc już w temacie łagodzenia skutków, warto przytoczyć zaproponowane przez giganta z Santa Clara rozwiązania tymczasowe, acz z góry ostrzegam, że osoby niezaznajomione z technologią raczej niewiele z nich zrozumieją. Po pierwsze, jako że 64-bitowa instrukcja RDSEED działa jak należy, AMD zaleca korzystać wyłącznie z niej. Prócz tego firma zasugerowała, aby ukryć CPUID Fn0000_0007_EBX[18] RDSEED przed wykrywaniem oprogramowania, np. poprzez dodanie linijki "clearcpuid=rdseed" do wiersza poleceń rozruchowych lub skorzystanie z opcji "-rdseed" w wierszu poleceń qemu dla maszyny wirtualnej.

Większość CPU na Zen 5 ma otrzymać stosowną aktualizację zabezpieczeń w okolicach końcówki listopada. Wyjątek stanowią procesory AMD EPYC™ Embedded 4005 Series i AMD Ryzen™ Embedded 9000 Series, jako że posiadaczy tych modeli na łatkę poczekają aż do stycznia przyszłego roku.

Na koniec AMD poinformowało o tym, że opisany problem został zgłoszony publicznie, a nie w ramach procesu CVD (Coordinated Vulnerability Disclosure, pol. skoordynowane ujawnianie luk w zabezpieczeniach).