イスラエルのセキュリティ企業CTS-Labsは、AMDのプロセッサ「Ryzen」と「EPYC」に13件の重大な脆弱性が見つかったと発表した。

CTS-Labsによると、AMDの「EPYC Server」「Ryzen Workstation」「Ryzen Pro」「Ryzen Mobile」の各プロセッサに、同社が「RYZENFALL」「FALLOUT」「CHIMERA」「MASTERKEY」と命名した4種類の脆弱性が存在する。

攻撃者がこの脆弱性を悪用すれば、RyzenとEPYC Secure Processorの制御、Ryzenチップセットの制御、AMDチップへのマルウェア挿入、高度なセキュリティに守られたエンタープライズネットワークからの情報盗み出し、エンドポイントセキュリティ対策の迂回、ハードウェアの物理的な破壊といった行為ができてしまう恐れがあるという。

CTS-Labsでは業界の専門家の話として、MASTERKEYやRYZENFALL、FALLOUTのようなファームウェアの脆弱性については、修正するのに何カ月もかかると説明。CHIMERAのようなハードウェアの脆弱性については修正ができず、緩和策が必要になるとしている。

CNETなどの報道によれば、脆弱性の大半は、管理者権限によるアクセスが必要なものであり、攻撃するには、まずマルウェアなどを介してコンピュータを制御する必要があるという。

今回の脆弱性については、AMDやMicrosoftなどにも連絡したとCTS-Labsは説明しているものの、AMDに連絡があってから24時間もたたないうちに、脆弱性に関する情報が公開されたとのことで、対策を行う時間を与えなかったことを疑問視する声も上がっている。AMD広報はCNETに対して「まだ報告を受けたばかりで、現在調査を進めている」とコメントした。

※【更新履歴】脆弱性を突く攻撃には、管理者権限が必要である旨などを追記しました。（3/14 12:00）