Zen+부터 Zen 5 아키텍처에 걸친 대부분, 나아가 전반적인 CPU에 영향을 미칩니다.
보드 파트너사들이 AMD의 AGESA 1.2.0.3e 펌웨어 기반의 최신 BIOS 업데이트를 배포하고 있습니다. 이번 업데이트는 해커가 VideoCardz를 통해 TPM(Trusted Platform Module)에 저장된 민감한 데이터에 접근할 수 있게 만드는 보안 취약점을 패치하는 것이 목적입니다. 다만, 일부 제조사의 경우 이 BIOS 업데이트는 되돌릴 수 없는 단방향 과정이므로, 일단 설치하면 이전 버전으로 롤백할 수 없습니다.
해커는 TPM2.0 루틴을 넘어선 경계 초과 읽기(out-of-bounds read)를 유발하는 방식으로 이 보안 취약점을 악용할 수 있습니다. 이로 인해 승인되지 않은 사용자는 민감한 데이터에 접근하거나 TPM의 전체 기능을 방해할 수 있습니다. 이 취약점은 다양한 기능을 위해 TPM 2.0 칩이 사용하는 표준화된 코드인 TPM2.0의 Module Library에 존재하는 버그(CVE-2025-2884)에서 비롯되었으며, CVSS 점수 기준으로는 6.6점(Medium)으로 평가되었습니다.
AGESA 1.2.0.3e 펌웨어는 AM5 기반 프로세서만을 대상으로 하지만, 이 보안 버그가 영향을 미치는 범위는 훨씬 광범위한 AMD CPU에 걸쳐 있습니다. 따라서 사용자의 프로세서에 해당 취약점 완화 조치가 가능한지 확인하려면 공식 보안 공지(security bulletin)를 참고하는 것이 가장 좋습니다. 이 버그가 특히 우려되는 점은 접근성이 높다는 것입니다. 즉, 공격자가 권한이 높은 커널 레벨 접근을 할 필요 없이 표준 사용자 모드 권한만으로도 악용할 수 있기 때문입니다. 이는 부호화되지 않은 마이크로코드를 실행할 수 있지만 커널 레벨 접근이 필요했던 이전의 취약점들과 큰 차이점입니다.
보안 연구원, AMD 자동 업데이트 기능이 소프트웨어를 안전하지 않은 방식으로 다운로드하여 원격 코드 실행(remote code execution)을 가능케 한다고 밝히다.
영향을 받는 프로세서 범위는 데스크톱용 Athlon 3000 "Dali" / Ryzen 3000 "Matisse"부터 Ryzen 9000 "Granite Ridge"까지의 광범위한 Ryzen 프로세서와, 모바일용 Ryzen 3000 Mobile "Picasso"부터 Ryzen AI 300 "Strix Point"까지의 프로세서를 포함합니다. 이와 유사하게, Threadripper 3000 "Castle Peak"부터 Threadripper 7000 "Storm Peak"까지의 모든 워크스테이션 CPU도 이 버그의 영향을 받을 수 있습니다. 다만, 이러한 대부분의 프로세서에 대한 패치는 지난 몇 달 동안 다양한 시점에 배포되었습니다. AM5 기반 CPU가 가장 최신 세대이며, 업데이트를 가장 늦게 받은 모델들입니다.
Asus와 MSI를 포함한 여러 메인보드 파트너사들이 새로운 AGESA 1.2.0.3e 펌웨어 기반의 BIOS 업데이트를 배포하기 시작했습니다. 이 펌웨어는 앞서 언급된 TPM 취약점을 해결하는 것 외에도, Ryzen 9000F 시리즈일 가능성이 높은 신규 출시 예정 Ryzen CPU에 대한 지원을 추가합니다. 최신 BIOS 업데이트가 사용 가능한지 확인하려면 메인보드 공급업체의 지원 페이지를 참고하여 적절히 업데이트하는 것이 권장됩니다.
최신 뉴스, 분석, 리뷰를 받으려면 Google News에서 Tom's Hardware를 팔로우하세요. '팔로우' 버튼을 클릭하는 것을 잊지 마십시오.