A AMD reconheceu uma vulnerabilidade perigosa nos processadores Zen 5 – o gerador de números aleatórios RDSEED será corrigido por meio de uma atualização de firmware.

A AMD confirmou a existência de um bug no gerador de números aleatórios RDSEED dos processadores Zen 5. O bug causou uma vulnerabilidade crítica: devido a uma operação incorreta, o gerador de números aleatórios pode produzir valores previsíveis, comprometendo a segurança cibernética dos usuários.

Fonte da imagem: amd.com

A vulnerabilidade, identificada pelo CVE-2025-62626, é classificada pelo fabricante como AMD-SB-7055; com uma classificação de 7,2 em 10, é considerada de alta gravidade. A AMD planeja corrigir a falha por meio de uma atualização de software até o final de janeiro de 2026. Uma atualização de firmware para os processadores EPYC 9005 já foi lançada, enquanto as atualizações para os processadores Ryzen 9000, AI Max 300, Threadripper 9000 e Ryzen Z2 serão lançadas em 25 de novembro.

O problema está relacionado às instruções RDSEED nos chips Zen 5. Quando o gerador de números aleatórios falha ao executar corretamente, ele retorna o valor zero e sinaliza sucesso. Isso representa um problema sério para aplicações criptográficas que exigem chaves de criptografia imprevisíveis — essa previsibilidade equivale a uma vulnerabilidade. O problema afetava os formatos RDSEED de 16 e 32 bits, mas não o de 64 bits.

O RDSEED é um dos dois sistemas de geração de números aleatórios disponíveis em processadores modernos, incluindo os da Intel. Trata-se de um gerador de números aleatórios verdadeiro que coleta dados imprevisíveis do ambiente e grava sequências de bits aleatórias em um registrador do processador. O sistema RDRAND é mais rápido, mas seus resultados são mais previsíveis.

O bug foi descoberto inicialmente por um engenheiro da Meta✴, que também encontrou um método para reproduzi-lo. Duas threads do processador são iniciadas na máquina: uma acessa constantemente o RDSEED, enquanto a segunda gera uma carga e consome aproximadamente 90% da memória. Como resultado, o gerador de números aleatórios começa a produzir zeros e continua a relatar a conclusão bem-sucedida das tarefas. Posteriormente, foi lançado um patch para Linux que desativa o RDSEED em todos os chips Zen 5, eliminando a vulnerabilidade.Até que eles saiamApós atualizar o microcódigo AGESA para processadores Zen 5, a AMD recomendou a mudança para a versão de 64 bits do RDSEED, que funciona corretamente.