AMD製の広範なプロセッサーに脆弱性 ～Athlon 3000からRyzen 9000/AI 300までに影響

AMDのセキュリティ情報ページ

　米AMDは5月12日（現地時間）、セキュリティアドバイザリ「AMD-SB-4017」を公開した。「AMD Athlon 3000」シリーズから「AMD Ryzen 9000」「AMD Ryzen AI 300」シリーズまで幅広い製品が対象で、マザーボード・PCメーカーから提供されるBIOSアップデートの適用が推奨されている。

　今回公開された脆弱性は、CVE番号ベースで計10件。「CVSS 4.0」のベーススコアによる深刻度の内訳は、「High」が2件、「Medium」が6件、「Low」が2件となっている。

　そのうち、もっとも深刻度の高い2件はいずれも「AMD Secure Processor」（ASP）に関するもの。ASPのアクセス制御が不十分なために「System Management Network」（SMN）の機密領域がマッピングされ、権限昇格につながるおそれがある（CVE-2021-46747）ほか、ASPの電源管理操作においてハードウェア構成状態の保護が不適切で、「Video Core Next」（VCN）ファームウェアの実行フローが変更される可能性がある（CVE-2023-31316）。

　影響を受ける主なプロセッサーは以下の通り。

• 「AMD Athlon 3000」シリーズ（デスクトップ・モバイル）
• 「AMD Ryzen 3000」～「AMD Ryzen 9000」シリーズ（デスクトップ・モバイル各世代を含む）
• 「AMD Ryzen AI 300」「AMD Ryzen AI Max／AI Max 300」シリーズ
• 「AMD Ryzen Threadripper」シリーズ（3000／7000／9000世代、PROを含む）
• 「AMD Ryzen Z1」「AMD Ryzen Z2」シリーズ

　このほか、組み込み向けの「AMD Ryzen Embedded」各シリーズ（R1000／R2000／V1000～V3000、5000～9000）なども影響を受ける。

　なお、DDR5メモリーモジュールに関する「CVE-2025-48516」は、対処にハードウェアの変更が必要とのことで、ほとんどの対象製品で「修正の予定なし」とされている。それ以外の脆弱性の多くは、すでにOEM各社へ提供されている「AGESA」（AMD Generic Encapsulated Software Architecture）ファームウェアで対処されている。