AMD признала опасную уязвимость в процессорах Zen 5 — генератор случайных чисел RDSEED исправят прошивкой

AMD подтвердила наличие ошибки в генераторе случайных чисел RDSEED в составе процессоров на архитектуре Zen 5. Ошибка стала причиной критической уязвимости — из-за некорректной работы генератор случайных чисел может выдавать предсказуемые значения, ставя под угрозу кибербезопасность пользователей.

Уязвимость за номером CVE-2025-62626 проходит в номенклатуре производителя как AMD-SB-7055; при рейтинге 7,2 из 10 она классифицируется как имеющая высокий уровень серьёзности. AMD намерена исправить ошибку программными средствами до конца января 2026 года. Обновление прошивки для процессоров EPYC 9005 уже вышло, обновления для потребительских Ryzen 9000, AI Max 300, Threadripper 9000 и Ryzen Z2 выйдут 25 ноября.

Проблема связана с инструкциями RDSEED на чипах Zen 5 — когда генератор случайных чисел не может сработать должным образом, он выдаёт нулевое значение и сигнализирует об успешном выполнении задачи. Это серьёзная проблема для криптографических приложений, которым в работе нужны непредсказуемые ключи шифрования — их предсказуемость равносильна уязвимости. Проблема коснулась 16- и 32-, но не 64-битного формата RDSEED.

RDSEED — одна из двух систем генерации случайных чисел, доступных на современных процессорах, в том числе на продукции Intel. Это истинный генератор случайных чисел, который собирает непредсказуемые данные из окружающей среды и записывает в регистре процессора случайные последовательности битов. Система RDRAND работает быстрее, но результаты её работы более предсказуемы.

Ошибку впервые обнаружил инженер Meta✴, и нашёлся способ стабильно её воспроизводить. На машине запускаются два потока процессора: один постоянно обращается к RDSEED, а второй создаёт нагрузку и поглощает около 90 % памяти — в результате генератор случайных чисел начинает выдавать нули и продолжает сообщать об успешном выполнении задач. В итоге для Linux выпустили патч, который отключает RDSEED на всех чипах Zen 5, чтобы устранить уязвимость. Пока не выйдут обновления микрокода AGESA для процессоров на архитектуре Zen 5, в AMD рекомендовали перейти на 64-битную версию RDSEED, которая работает корректно.