Scoperto un difetto hardware nei processori AMD Zen 5: la sicurezza crittografica è in pericolo

AMD ha confermato la presenza di un difetto hardware nell'implementazione dell'istruzione RDSEED all'interno dei processori basati su architettura Zen 5. Il problema è stato reso noto nel bollettino AMD-SB-7055 e registrato con l'identificativo CVE-2025-62626 con un punteggio di 7.2 (High).

Il problema riguarda le versioni 16-bit e 32-bit dell'istruzione RDSEED, che in determinate condizioni possono restituire il valore zero (0) in modo non casuale, pur segnalando erroneamente un'operazione riuscita. La versione 64-bit dell'istruzione non risulta invece affetta dal bug.

La criticità è stata valutata da AMD con livello di gravità elevato, in quanto può compromettere la generazione di chiavi crittografiche e numeri casuali utilizzati da software di sicurezza e sistemi operativi. RDSEED è infatti un'istruzione a basso livello che fornisce entropia hardware ai generatori di numeri casuali, base fondamentale per la robustezza delle chiavi e dei nonce crittografici.

In caso di malfunzionamento, la produzione di numeri potenzialmente prevedibili può ridurre l'imprevedibilità delle chiavi e rendere vulnerabili applicazioni e servizi che si basano su RDSEED come fonte di casualità.

La vulnerabilità è emersa pubblicamente tramite la mailing list del kernel Linux, dove un ingegnere di Meta ha segnalato un comportamento anomalo riproducibile martellando RDSEED con thread multipli in carichi di memoria intensivi. A seguito di queste scoperte, la comunità Linux ha rapidamente rilasciato una patch che disabilita RDSEED su tutte le CPU Zen 5, in attesa della correzione definitiva da parte di AMD.

AMD ha annunciato che la correzione permanente verrà distribuita tramite aggiornamenti AGESA e microcode destinati ai produttori di schede madri e OEM.

Le versioni server, come EPYC 9005, hanno già ricevuto l'update, mentre i correttivi per le piattaforme consumer - tra cui Ryzen 9000, Ryzen AI Max 300, Threadripper 9000 e Ryzen Z2 - sono previsti per fine novembre 2025. Il rilascio completo delle mitigazioni proseguirà fino a gennaio 2026, a seconda della famiglia di prodotti.

Nel frattempo, AMD raccomanda alcune misure temporanee:

• utilizzare la forma 64-bit di RDSEED, non affetta dal difetto
• nascondere RDSEED dal software (ad esempio, con il parametro clearcpuid=rdseed nel kernel Linux o con -rdseed in QEMU)
• trattare un valore zero come fallimento e riprovare l'istruzione fino a ottenere un risultato valido

L'azienda suggerisce inoltre di aggiornare il BIOS o il firmware non appena disponibili e, per motivi di sicurezza, di rigenerare eventuali chiavi sensibili create su sistemi ancora privi della patch.