Компания AMD сообщила о выявленной уязвимости (CVE-2025-54518; AMD-SB-7052) уровня CVSS 7.3 в работе кеша операций/микроопераций процессоров на базе микроархитектуры Zen 2, которая может привести к некорректному выполнению инструкций на более высоком уровне привилегий. Например, из пространства пользователя уязвимость позволяет добиться выполнения кода с правами ядра или получить доступ к хост-окружению из виртуальной машины. Сообщается, что проблема вызвана некорректной изоляцией совместно используемых ресурсов.
Для веток гипервизора Xen c 4.17 по 4.21 были опубликованы патчи. Исправление для блокирования уязвимости также передано для включения в состав ядра Linux. Компания уже устранила эту уязвимость в десктопных и мобильных сериях CPU AMD Ryzen 3000, 4000, 5000, 7020, 7030 и Threadripper PRO 3000 WX, а также во встраиваемых CPU AMD Ryzen Embedded V2000, подготовив патчи для BIOS. Вместе с тем, для процессоров серии AMD EPYC 7002, включая Embedded-серию, уязвимость предлагается блокировать на уровне операционной системы.
Источник изображения: Kevin Horvat/unsplash.com
Любопытно, что об уязвимости компания сообщила только сейчас, хотя для всех продуктов, получивших патчи, последние были выпущены в конце 2025 года. Для EPYC, по-видимому, для реалиазации защиты останется механизм загрузки микрокода при старте ОС.
Источник:
