È emersa una vulnerabilità piuttosto seria per diversi processori AMD più recenti, nello specifico i Ryzen serie 7000, 8000 e 9000: l’hanno scoperta la settimana scorsa i ricercatori del Trusted Computing Group (TCG), un ramo dell’organizzazione che si occupa di sviluppare lo standard di sicurezza noto come TPM (Trusted Platform Module). Prevedibilmente la falla riguarda proprio questo componente: il codice standard CVE è CVE-2025-2884, mentre quello interno di AMD è AMD-SB-4011, ed espone il sistema ad attacchi hacker, nello specifico furti di informazioni.
La falla si annida nella funzione CryptHmacSign a causa di una convalida non corretta di un digest o di un hash del messaggio tramite lo schema HMAC (hash-based message authentication code), il che causa uno scenario cosiddetto “out of bounds”, in cui informazioni possono essere lette o scritte (in questo caso specifico lette) in un’area di memoria non autorizzata. A quanto pare non è stato implementato correttamente un sistema di verifica della consistenza nella funzione citata, e quindi un potenziale malware può leggere fino a 65.535 byte dopo i limiti del buffer autorizzato.
Secondo i ricercatori il livello di pericolo è di 6,6, in base al CVSS (Common Vulnerability Scoring System). È piuttosto tipico per attacchi così specifici che peraltro devono essere condotti localmente, e non via internet. In ogni caso, AMD ha rilasciato un aggiornamento correttivo che se non chiude completamente la falla quantomeno la mitiga. Ci sono patch diverse per i Ryzen 7000/8000 e i 9000, visto che i primi due sono basati su architettura Zen 4 mentre gli ultimi si appoggiano sulla più recente Zen 5. In entrambi i casi, comunque, la patch è la numero 1.2.0.3e.
È importante precisare che il codice rilasciato da AMD (tecnicamente si chiama AGESA, AMD Generic Encapsulated Software Architecture) non è un software “fatto e finito”, ma è rivolto ai produttori di schede madre che poi lo adattano e confezionano per la distribuzione ai propri clienti. Detto questo, alcuni BIOS aggiornati sono già in circolazione, per esempio da MSI e ASUS, mentre è lecito assumere che altri produttori per ora ancora assenti seguiranno a ruota in tempi brevi.
Non si tratta certo di uno scenario “apocalittico” da lasciare il sistema offline e precipitarsi a installarlo non appena arriva, come dicevamo sopra, ma ogni vulnerabilità che colpisce direttamente un componente nevralgico come il processore va preferenzialmente chiusa con una certa urgenza. Insomma, se siete di quelli che aggiornano il BIOS raramente, questa è una di quelle occasioni in cui è il caso di agire.
Esplosioni stellari e bruschi cambiamenti climatici: e se riaccadesse?