AMD a publié un avis de sécurité confirmant un bug dans son architecture Zen 5 ce qui pourrait avoir des conséquences sur la sécurité des équipements basés sur ces processeurs.
La vulnérabilité est liée à l’instruction x86-64 RDSEEDqui n’est rien de plus qu’un générateur de nombres aléatoires sécurisé au niveau matériel du processeur lui-même. Cette instruction peut être utilisée lorsque générer des clés cryptographiques ou des systèmes de sécurité.
Le bug fait que l’instruction RDSEED 16 ou 32 bits génère un 0 au lieu d’un nombre aléatoire, affectant les systèmes de sécurité cryptographiques.
Plus précisément, il a été détecté que les processeurs dotés d’une architecture Zen 5 présentent un bug qui provoque les versions de l’instruction RDSEED 16 bits et 32 bits peuvent échouer et renvoyer le chiffre 0 en conséquence et marquer ladite opération comme réussie. Dans ces cas-là, le système proposera un 0 comme « nombre aléatoire » valide, ce qui pourrait amener un logiciel malveillant à profiter de cette faille à ce moment-là, puisqu’il ne s’agirait pas d’un véritable nombre aléatoire et, de plus, c’est un nombre connu qui est généré avec le bug
La version 64 bits de l’instruction n’est pas affectée, Par conséquent, cette vulnérabilité ne se produirait que dans les systèmes utilisant l’instruction 32 ou 16 bits.
AMD a annoncé qu’il travaillait déjà sur une nouvelle version du firmware et du microcode AGESA qui résoudrait le problème. En attendant, il est recommandé aux développeurs d’utiliser la version 64 bits de l’instruction ; dans les cas où cela n’est pas possible, ils doivent modifier leur code d’application pour qu’il n’accepte pas la valeur 0 comme « aléatoire ». Les administrateurs système peuvent désactiver l’instruction si nécessaire.
AMD commencera à déployer le firmware qui résoudra le problème ce mois-ci
Tous les processeurs basés sur l’architecture Zen 5 sont concernés, et AMD a déjà annoncé qu’il publierait une mise à jour du firmware AGESA pour y remédier.
Dans le cas des processeurs AMD EPYC série 9005, La version AGESA TurinPI 1.0.0.8 arrivera le 14 novembre bien qu’une version de microcode ait également été publiée la semaine dernière et sert d’atténuation. La DMLA Série EPYC EMBARQUÉE 9005 Ils recevront également la mise à jour le même jour, bien que l’AMD EPYC EMBEDDED 4005 et le AMD Ryzen™ série 9000 embarquée Il leur faudra attendre janvier 2026
Pour les processeurs grand public AMD Ryzen et Threadripper, le firmware arrivera le 25 novembre aux modèles suivants :
- Ordinateur de bureau AMD Ryzen™ série 9000
- AMD Ryzen™ série 9000HX
- AMD Ryzen™ série AI 300
- AMD Ryzen™ AI série Z2 extrême
- AMD Ryzen™ AI Max série 300
- AMD Ryzen™ Threadripper™ 9000
- AMD Ryzen™ Threadripper™ PRO série 9000 WX
- AMD Ryzen™ série Z2 extrême
