AMD Ryzen AI Software Update Addresses Multi Security Vulnerabilities
2025/04/06 SecurityOnline — AMD が発表したのは、Ryzen AI ソフトウェアに存在する複数のセキュリティ脆弱性に対処するための、アップデート・リリースの情報である。AMD Ryzen AI プロセッサを搭載した PC において、AI 推論を最適化して展開するように設計さる Ryzen AI ソフトウェアは、AMD XDNA アーキテクチャに組み込まれた Neural Processing Unit (NPU) 上でアプリケーションを実行する。新たに発見された脆弱性の悪用に成功したローカル攻撃者は、権限昇格/境界外書込に加えて、任意のコード実行の可能性を手にする。
今回のセキュリティ情報は、以下の脆弱性について詳述するものとなっている。
CVE-2025-0014 (CVSS:7.3):この脆弱性は、AMD Ryzen AI インストール・フォルダの、誤ったデフォルト権限に起因する。この問題を悪用する攻撃者は、権限の昇格および、任意のコード実行の機会を得る。
CVE-2024-36337 (CVSS:7.9 )/CVE-2024-36328 (CVSS:7.3 )/CVE-2024-36336 (CVSS:7.9 ):これらの脆弱性は、AMD NPU ドライバー内の整数オーバーフローに起因する。これらの脆弱性の悪用に成功したローカル攻撃者は、境界外の書き込みを行い、システムの機密性/整合性/可用性に影響を及ぼすとされる。
すでに AMD は、AMD Ryzen AI ソフトウェアのバージョン 1.3 をリリースし、これらの脆弱性を軽減している。ユーザーに対して強く推奨されるのは、速やかなアップデートである。
これらの脆弱性は、AMD Ryzen AI ソフトウェアを使用するシステムに、重大なリスクをもたらす。権限昇格と任意のコード実行により、攻撃者が達成するものには、機密データへの不正アクセス/マルウェアのインストールに加えて、影響を受けるシステムの制御の奪取まである。また、境界外書き込みの脆弱性には、システムの不安定化/データの破損/またはサービス拒否などの可能性がある。
AMD Ryzen AI 搭載 PC のユーザーは、最新バージョンへの更新を優先する必要がある。システムを潜在的な悪用から保護し、AI ワークロードのセキュリティと安定性を確保する上で、この予防的な手順は極めて重要である。
今年に入ってから、AMD の脆弱性が多いように感じます。前回の関連ポストは、2025/02/14 の「AMD EPYC サーバ・プロセッサの深刻な脆弱性が FIX:任意のコード実行および機密データへの不正アクセスの恐れ」です。よろしければ、AMD で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.