Zen 5

A AMD confirmou uma nova vulnerabilidade de segurança em suas CPUs baseadas na arquitetura Zen 5, classificada como de alta severidade. A falha, identificada como AMD-SB-7055, afeta o gerador de números aleatórios RDSEED, que é crucial para a geração de chaves de criptografia. O problema ocorre nas instruções de 16 e 32 bits, que podem retornar o valor ‘0’ sem sinalizar erro, enganando aplicações que dependem dessa funcionalidade para garantir a segurança dos dados. A AMD já está distribuindo atualizações de firmware (AGESA) para corrigir a vulnerabilidade, com prioridade para servidores EPYC 9005, devido ao processamento de dados sensíveis em data centers. Para usuários de desktop e notebooks, as atualizações devem ser disponibilizadas até o final de novembro de 2025. Enquanto isso, a empresa recomenda que desenvolvedores utilizem a versão de 64 bits do RDSEED ou tratem retornos de ‘0’ como falhas. Essa situação levanta preocupações sobre a confidencialidade e integridade dos dados, especialmente em ambientes que utilizam criptografia para proteger informações sensíveis.

A AMD revelou uma vulnerabilidade crítica em seus processadores Zen 5, identificada como CVE-2025-62626, que compromete a integridade da geração de números aleatórios. A falha afeta a instrução RDSEED, essencial para a geração de números aleatórios criptográficos, e pode resultar na devolução de valores zero enquanto sinaliza erroneamente sucesso. Isso pode levar a operações criptográficas comprometidas, pois aplicações podem utilizar valores previsíveis, tornando-as vulneráveis a ataques de predição. A vulnerabilidade impacta as implementações de 16 e 32 bits da instrução, enquanto a versão de 64 bits permanece segura. A AMD recomenda que as organizações adotem medidas imediatas, como a utilização da versão de 64 bits ou a ocultação da capacidade RDSEED até que patches de microcódigo sejam disponibilizados. Atualizações estão programadas para os processadores EPYC 9005 e Ryzen 9000 até novembro de 2025. A descoberta inicial da vulnerabilidade no mailing list do kernel Linux ressalta a importância da divulgação coordenada de falhas na comunidade de segurança.