- В процессорах AMD на архитектуре Zen 5 выявлена уязвимость CVE-2025-62626 в генераторе случайных чисел RDSEED.
- Ошибка приводит к неверному возвращению значения ноль с флагом успешного завершения операции, что может повлиять на генерацию энтропии в системе.
- AMD анонсировала программные исправления, которые планируется выпустить до конца ноября для всех затронутых процессоров.
Компания AMD официально подтвердила наличие ошибки безопасности, обозначенной как CVE-2025-62626 (код производителя AMD-SB-7055), обнаруженной в генераторе случайных чисел RDSEED, используемом в процессорах с архитектурой Zen 5. Данная уязвимость связана с некорректной работой инструкции RDSEED, которая в 10% случаев возвращала значение 0 при успешном флаге выполнения операции (CF=1). Как отметил известный исследователь Грегори Прайс, проблема воспроизводится в условиях одновременной нагрузки на память и постоянных обращений к RDSEED в многоядерной среде.
По задумке архитектуры, возвращаемое значение 0 сигнализирует о невозможности генерации корректного случайного числа и сопровождается флагом CF=0. Однако в затронутых AMD процессорах возникает ошибка, из-за которой флаг успешности операции выставляется неверно, что может приводить к использованию недостоверных данных в генерируемой энтропии.
Данная инструкция широко применяется в ядре Linux в составе механизма создания источников энтропии, влияющего на качество генерации псевдослучайных чисел. Тем не менее, Linux использует несколько источников энтропии, поэтому проблема не должна значимо снижать общую безопасность случайных чисел, необходимых для криптографических и других задач. Для минимизации рисков в Linux уже предложен патч, который отключает применение RDSEED на системах с процессорами Zen 5, пока не выйдут официальные исправления от AMD.
В ответ на эту уязвимость AMD обещает решить проблему исключительно методом программных обновлений микрокода процессоров. Первый патч уже выпущен для серверных моделей EPYC 9005. Ожидается, что обновления для потребительских решений Ryzen 9000, AI Max 300, Threadripper 9000 и Ryzen Z2 станут доступны начиная с 25 ноября. Компания также рекомендует временно использовать 64-битную версию RDSEED, которая не подвержена данной ошибке.
Эксперты подчеркивают, что обнаружение и быстрое признание проблемы AMD демонстрирует серьёзное отношение компании к безопасности своих продуктов и готовность оперативно реагировать на выявленные уязвимости без необходимости в аппаратных замены процессоров.
