AMD, modern bilgisayarların temel güvenlik özelliği olan rastgele sayı oluşturmanın güvenilirliğini tehlikeye atan, Zen 5 işlemci serisini etkileyen kritik bir güvenlik açığını açıkladı.
CVE-2025-62626 olarak izlenen kusur, sistemler tarafından şifreleme, kimlik doğrulama ve diğer güvenlik işlemleri için gerekli olan kriptografik olarak güvenli rastgele sayılar üretmek için kullanılan RDSEED talimatını etkiliyor.
Güvenlik açığı, Zen 5 işlemcilerdeki RDSEED talimatının uygulanmasındaki bir kusurdan kaynaklanıyor. Belirli koşullar altında, talimat, taşıma bayrağı (CF=1) aracılığıyla hatalı bir şekilde başarı sinyali verirken sıfır değeri döndürür.
Bu davranış, yazılımın gerçekte öngörülebilir bir sıfır değeri elde ederken geçerli bir rastgele sayı aldığına inandığı tehlikeli bir senaryo oluşturur. Sorun, RDSEED talimatının hem 16 bit hem de 32 bit biçimlerini etkiliyor ancak 64 bit sürüm etkilenmeden kalıyor.
RDSEED Kusurunu Anlamak
AMD bu hatayı alışılmadık bir kanal aracılığıyla öğrendi. Sorun ilk olarak AMD’nin standart Koordineli Güvenlik Açığı Açıklama süreci yerine Linux çekirdeği posta listesinde kamuya duyuruldu.
Bu kamuya açıklama yolu, açık kaynak güvenlik araştırmasının işbirlikçi doğasını vurguluyor, aynı zamanda çeşitli raporlama kanallarında güvenlik bilgilerini yönetmenin zorluğunu da vurguluyor.
Bu güvenlik açığının ciddiyeti hafife alınamaz. Rastgele sayı üretimi, modern sistemlerde kriptografik güvenliğin omurgasını oluşturur.
RDSEED, başarıyı belirtirken sıfır döndürerek sessizce başarısız olduğunda, uygulamalar zayıf şifreleme anahtarları, öngörülebilir kimlik doğrulama belirteçleri veya güvenliği ihlal edilmiş güvenlik protokolleri oluşturabilir.
| CVE | CVE Açıklaması | CVSS Puanı |
|---|---|---|
| CVE-2025-62626 | AMD CPU’larındaki yetersiz entropinin yanlış işlenmesi, yerel bir saldırganın RDSEED talimatı tarafından döndürülen değerleri etkilemesine izin verebilir ve bu da potansiyel olarak yeterince rastgele olmayan değerlerin tüketilmesine neden olabilir. | 7,2 (Yüksek) CVSS:4,0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Yerel sistem erişimine sahip bir saldırgan, kriptografik işlemleri tahmin etmek veya etkilemek için bu zayıflıktan yararlanma potansiyeline sahip olabilir ve bu da veri ihlallerine veya yetkisiz erişime yol açabilir.
Sistem yöneticileri, RDSEED’in 64 bitlik biçimini özel olarak kullanabilir, önyükleme parametrelerini değiştirerek RDSEED yeteneğini yazılım algılamasından maskeleyebilir veya sıfır dönüşleri yeniden deneme girişimlerini gerektiren hatalar olarak ele almak için yazılım mantığını uygulayabilir. Şirket, ürün portföyünde mikro kod güncellemeleri ve AGESA ürün yazılımı revizyonları yayınlamayı planlıyor.
AMD EPYC 9005 Serisi işlemciler, güncellemeleri Kasım 2025’in ortasına kadar alırken, tüketici Ryzen 9000 Serisi, Ryzen AI 300 Serisi ve Threadripper 9000 işlemciler ise Kasım ayı sonlarında piyasaya sürülmeyi hedefliyor. Gömülü işlemci çeşitleri Ocak 2026’ya kadar yamaların dağıtılacağını görecek.
Etkilenen Zen 5 sistemlerini çalıştıran kuruluşlar, orijinal ekipman üreticileri aracılığıyla kullanıma sunulduktan sonra bu güncellemeleri uygulamaya öncelik vermelidir.
Yamalar dağıtılana kadar, önerilen yazılım geçici çözümlerinin uygulanması, bu rastgele bütünlük güvenlik açığından yararlanma olasılığına karşı temel koruma sağlar.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
