AMD признала наличие критической уязвимости CVE-2025-62626 в генераторе случайных чисел RDSEED, встроенном во все настольные, мобильные и серверные чипы на архитектуре Zen 5. Сбой приводит к тому, что вместо непредсказуемой выборки RDSEED иногда возвращает нулевое значение, при этом инструкция сигнализирует об успехе. Если стороннее ПО принимает такой результат, снижается стойкость криптографической защиты, что теоретически открывает путь к расшифровке данных и компрометации сессий. Баг оценён на 7,2 балла по CVSS («высокий риск»), однако для эксплуатации злоумышленнику необходим локальный доступ к системе.
Проблему первым воспроизвёл инженер Meta✴: при одновременном опросе RDSEED одним потоком и создании высокой нагрузки вторым потоком (около 90 % оперативной памяти) генератор устойчиво выдавал последовательности из нулей. После публикации PoC разработчики ядра оперативно выпустили патч, отключающий инструкцию для всех процессоров Zen 5, а в Linux её можно принудительно убрать параметром clearcpuid=rdseed; аналогичный флаг ‑rdseed доступен в QEMU. В качестве временного обхода AMD рекомендует использовать 64-битный формат RDSEED, в котором дефект не проявляется.
Обновлённый микрокод AGESA уже доступен для серверных Epyc 9005 (TurinPI 1.0.0.8). Патчи для массовых линеек Ryzen 9000, а также Epyc Embedded 9005 компания планирует выпустить до конца ноября, тогда как решения Embedded 4005 и Ryzen Embedded 9000 получат исправление в январе 2025 года. При этом часть пользователей сообщила о проблемах с предварительной сборкой ядра 6.18-rc4, где попытались закрыть уязвимость: система не всегда загружает графический интерфейс.
RDSEED — аппаратная инструкция истинного генератора случайных чисел, собирающего энтропию из теплового шума транзисторов. Она выдаёт 16-, 32- или 64-битные выборки и традиционно используется для инициализации криптостойких PRNG. Аналогичный механизм RDRAND работает быстрее, но более предсказуем, поэтому сбой в RDSEED особенно опасен для создания ключей, токенов и TLS-сессий.
AMD обещает опубликовать финальную версию микрокода и список затронутых моделей в ближайшие недели. Пользователям рекомендовано следить за обновлениями BIOS, дистрибутивов Linux и гипервизоров, отключить RDSEED в критичных средах или перейти на 64-битный режим до выхода официального исправления.