Vorige maand onthulde de Trusted Computing Group (TCG), de ontwikkelaar van de Trusted Platform Module (TPM)-securitystandaard, een nieuwe TPM-kwetsbaarheid in Ryzen-processoren.
Deze kwetsbaarheid, geregistreerd onder CVE-2025-2884 (door AMD aangeduid als AMD-SB-4011), maakt het voor een aanvaller mogelijk om via kwaadaardige commando’s gegevens uit de TPM te lezen door middel van een informatielek of mogelijk de beschikbaarheid van de TPM te verstoren via een denial-of-service-aanval. Het gaat hierbij om een zogenoemde out-of-bound read beveiligingsfout.
TCG geeft aan dat de fout optreedt in de CryptHmacSign-functie. Deze functie valideert een berichtverificatiecode (hash) niet goed binnen de HMAC-handtekeningsmethode, wat leidt tot het lezen buiten de toegestane geheugenruimte. In het adviesdocument VRT0009 legt TCG het als volgt uit:
Er werd geen correcte consistentiecontrole geïmplementeerd in de CryptHmacSign()-functie, wat kan leiden tot het lezen van data buiten de grenzen van de buffer. Deze buffer wordt doorgegeven aan het ExecuteCommand()-invoerpunt. Door deze fout kan een aanvaller mogelijk tot 65.535 bytes aan gegevens lezen buiten het einde van die buffer.
De kwetsbaarheid heeft een CVSS-score van 6.6, wat wijst op een gemiddeld risiconiveau. Dit is typisch voor kwetsbaarheden waarbij lokale toegang vereist is, aangezien de aanvaller fysiek toegang tot het apparaat moet hebben. Desondanks heeft AMD firmware uitgebracht om de kwetsbaarheid te verhelpen op Ryzen 7000- en 8000-series (Zen 4) en Ryzen 9000-series (Zen 5).
AMD heeft bevestigd dat de AGESA-firmware (AMD Generic Encapsulated Software Architecture), versie Combo PI 1.2.0.3e, de fout aanpakt. Volgens het bedrijf lost deze firmware het probleem op dat te maken heeft met de ASP fTPM + Pluton TPM. ASP verwijst naar de AMD Secure Processor, een speciaal hardwarecomponent dat is ingebouwd in elke system-on-a-chip.
Moederbordfabrikanten rollen update uit
Moederbordfabrikanten zoals Asus en MSI zijn al begonnen met het uitrollen van deze firmware-update. MSI heeft in een blogpost meer informatie gegeven over versie 1.2.0.3e van Combo PI. Hierin worden ook nieuwe functies genoemd zoals ondersteuning voor nieuwe CPU’s en verbeterde compatibiliteit met geheugen. MSI zegt hierover:
Deze update biedt niet alleen ondersteuning voor aankomende nieuwe CPU’s, maar zorgt er ook voor dat alle AM5-moederborden overweg kunnen met 64GBx4 DRAM-modules. Zelfs bij volledige installatie van vier 64GB-geheugenmodules blijft het mogelijk om een stabiele overkloksnelheid van 6000MT/s te halen, en soms zelfs tot 6400MT/s.
Daarnaast verbetert de update het gebruik van 2DPC 1R-geheugen en brengt het overklokverbeteringen voor specifieke geheugenchips van Samsung (4Gx8).
Opmerkelijk is dat Asus meldt dat deze firmware-update onomkeerbaar is omdat het om een grote release gaat. Men mag er dus van uitgaan dat deze release zeer stabiel is – en gezien het feit dat het hier om de zogenaamde e-variant van de firmware gaat, lijkt dat aannemelijk. Andere fabrikanten, zoals Gigabyte en ASRock, hebben hun updates nog niet uitgebracht.