Bazı AMD işlemcilerinde, özellikle de en yeni Zen 5 mimarisi üzerine inşa edilen modellerde, kriptografik işlemleri doğrudan etkileyen kritik bir güvenlik açığı tespit edildi. Bu açık, korunan verilerin bütünlüğünü ciddi şekilde riske atıyor.

AMD, yayımladığı bir güvenlik bülteninde “AMD-SB-7055” olarak tanımlanan bu hatayı, RDSEED donanım tabanlı rastgele sayı üreticisinde (random number generator) ortaya çıkan bir zafiyet olarak açıkladı.

Etkilenen işlemcilerde, RDSEED komutunun 16 bit ve 32 bit sürümleri bazen “0” değerini döndürüyor ve bunu başarılı bir işlem olarak işaretliyor. Yani, işlem aslında rastgele olmayan bir sonuç üretse de, sistem bunun farkına varmıyor.

Rastgele olmayan anahtarlar büyük tehlike yaratıyor

Bu durum, özellikle şifreleme anahtarlarının üretildiği sunucularda ciddi güvenlik riskleri doğuruyor. Örneğin, bir şirket müşteri verilerini şifrelemek için RDSEED komutunu doğrudan işlemciden gelen rastgele sayılarla kullanıyorsa, sistem zaman zaman tamamen sıfırlardan oluşan anahtarlar üretebilir.

Sorun fark edilmediği için herhangi bir hata uyarısı da oluşmuyor. Sonuç olarak, saldırganlar bu anahtarların bir kısmını ele geçirirse, matematiksel yollarla özel anahtarı tahmin edilebilir ya da yeniden oluşturabilir. Böylece şirketin şifreleme sistemini kırmak, kullanıcı verilerine erişmek veya sahte güncellemeler yayımlamak mümkün hale gelebilir. Bu da, müşteri kayıtlarının, API anahtarlarının ya da yazılım güncelleme imzalarının sahte olarak oluşturulabilmesi veya çözülebilmesi anlamına geliyor.

AMD’den çözüm: Yama ve geçici önlemler yolda

AMD, bu güvenlik açığına yönelik düzeltmeler ve yamalar üzerinde çalıştığını duyurdu. Şirketin açıklamasına göre, 2026 Ocak ayına kadar, işlemci modeline bağlı olarak, sorunun çoğu cihazda giderilmesi bekleniyor. Tüketici odaklı Ryzen 9000 serisi, AI Max 300 serisi, Threadripper 9000 serisi ve Ryzen Z2 serisi dahil Zen 5 işlemciler için düzeltme güncellemeleri 25 Kasım’da yayınlanacak. AMD ayrıca, tüm Zen 5 işlemcileri kapsayacak AGESA mikro kod güncellemelerinin de “çok yakında” hazır olacağını belirtti. Henüz güncelleme almamış sistemlerde ise AMD, geçici bir çözüm olarak etkilenmeyen 64 bit RDSEED komutuna geçilmesini veya yazılım tabanlı rastgele sayı üretimi yöntemlerinin kullanılmasını öneriyor.