Prima di procedere
AMD ha confermato la presenza di un errore nel generatore di numeri casuali RDSEED integrato nei processori basati sull'architettura Zen 5. Questa vulnerabilità, identificata come CVE-2025-62626 (AMD-SB-7055), è stata classificata come ad alta gravità, con un punteggio di 7.2 su 10.
Il problema risiede nel fatto che, in determinate condizioni, il generatore di numeri casuali può produrre valori prevedibili, compromettendo la sicurezza informatica degli utenti. In particolare, l'errore si manifesta quando le istruzioni RDSEED sui chip Zen 5 non riescono a operare correttamente, restituendo un valore nullo e segnalando erroneamente il successo dell'operazione. Questo rappresenta un rischio significativo per le applicazioni crittografiche che richiedono chiavi di crittografia realmente casuali e imprevedibili.
AMD ha annunciato l'intenzione di risolvere il problema tramite aggiornamenti software entro la fine di gennaio 2026. Un aggiornamento della microcode per i processori EPYC 9005 è già stato rilasciato, mentre gli aggiornamenti per i processori consumer Ryzen 9000, AI Max 300, Threadripper 9000 e Ryzen Z2 sono previsti per il 25 novembre.
La vulnerabilità riguarda specificamente i formati 16- e 32-bit dell'RDSEED, ma non il formato a 64-bit. RDSEED è uno dei due sistemi di generazione di numeri casuali disponibili sui moderni processori, inclusi quelli di Intel. A differenza del sistema RDRAND, che è più veloce ma produce risultati più prevedibili, RDSEED è un generatore di numeri casuali "vero" che raccoglie dati imprevedibili dall'ambiente circostante e li utilizza per generare sequenze di bit casuali nei registri del processore.
L'errore è stato scoperto da un ingegnere di Meta, che ha individuato un metodo per riprodurlo in modo consistente. Il metodo prevede l'esecuzione di due thread del processore: uno che accede continuamente all'RDSEED e un altro che genera un carico elevato e consuma circa il 90% della memoria. In queste condizioni, il generatore di numeri casuali inizia a restituire zeri, segnalando al contempo il successo dell'operazione.
Come soluzione temporanea, è stata rilasciata una patch per Linux che disabilita l'RDSEED su tutti i chip Zen 5 per eliminare la vulnerabilità. In attesa del rilascio degli aggiornamenti del microcodice AGESA per i processori basati sull'architettura Zen 5, AMD raccomanda di utilizzare la versione a 64-bit dell'RDSEED, che risulta immune al problema.
La scoperta di questa vulnerabilità sottolinea l'importanza di una continua vigilanza e di test rigorosi sui sistemi di generazione di numeri casuali, che sono fondamentali per la sicurezza di numerose applicazioni, dalla crittografia alla simulazione scientifica. La tempestiva risposta di AMD e la disponibilità di soluzioni temporanee dimostrano l'impegno dell'azienda nel proteggere i propri utenti dai rischi informatici.
