AMD Verwijderde Stilletjes Hardwarematige Geheugenversleuteling van Consumenten-Ryzen-CPU's

Hoe de Wijziging Werd Ontdekt en Bevestigd

De ontdekking kwam uit een onverwachte hoek: een privacygerichte Linux-gebruiker.

Ontdekking: Beveiligingsonderzoeker Ben Kilpatrick merkte dat TSME was verdwenen van zijn Ryzen-systeem na een firmware-update. Hij startte een maandenlang onderzoek, bijgehouden op GitHub .

Bevestiging: Kilpatrick voerde Host Security ID (HSI) uit, een firmware-audit-tool, die rapporteerde dat TSME niet langer werd ondersteund — ook al had hij de BIOS-optie om het in te schakelen op eerdere firmwareversies . De wijziging werd specifiek herleid naar AGESA 1.2.7.0. MSI, een moederbordleverancier, bevestigde later dat TSME beschikbaar was in AGESA 1.2.6.0, maar was uitgeschakeld in de nieuwere build .

Waarom het moeilijk te detecteren was: Op Windows-systemen hadden gebruikers geen praktische manier om de wijziging te zien. Op Linux vereiste detectie het gebruik van gespecialiseerde audit-tools . Als Kilpatrick geen onderzoek had gedaan, was de wijziging mogelijk voor onbepaalde tijd onopgemerkt gebleven .

Reactie van de Community en het Bedrijf

Reactie van de community: De verontwaardiging was snel en wijdverspreid.

• Beveiligingsonderzoekers en -enthousiastelingen noemden de stille verwijdering een ernstig vertrouwensbreuk .
• Het verhaal bereikte de top van Hacker News op 18 juni 2026, als het meest besproken item .
• De kritiek richtte zich op het volledige gebrek aan transparantie: geen beveiligingsadvies, geen changelog-entry en AMD-ingenieurs gingen aanvankelijk in stilzwijgen toen ze onder druk werden gezet .

AMD's officiële reactie: Na de terugslag gaf AMD een verklaring uit:

"Met betrekking tot bepaalde niet-PRO Ryzen 9000-serie desktopprocessors: een BIOS-optie om Memory Guard in te schakelen was voorheen beschikbaar, maar is verwijderd in een recente update. Op basis van waardevolle feedback van de community zullen we deze optie herstellen in een aanstaande BIOS-release in juli."

AMD bevestigde dat:

• De Ryzen PRO-serie TSME permanent zal behouden .
• Niet-PRO Ryzen 9000-desktop-CPU's TSME zullen terugkrijgen via een BIOS-update in juli 2026 .

AMD stelde dat het "de gegevensbeveiliging van klanten waardeert," maar heeft niet openbaar uitgelegd waarom TSME in de eerste plaats werd verwijderd — of het nu een licentiebeslissing, een productsegmentatiezet of een interne fout was .

Het Bredere Patroon: AMD's Firmware-Transparantieprobleem

Het TSME-incident is geen geïsoleerde gebeurtenis. Het past in een patroon van beveiligingsbeïnvloedende wijzigingen die stilzwijgend zijn doorgevoerd via AMD's propriëtaire AGESA-firmware:

• AGESA DDR5 PMIC-kwetsbaarheid (CVE-2025-48516, mei 2026): Een onveilige standaardconfiguratie in de AGESA-bootloader voor DDR5-geheugenmodules kon lokale privilege-escalatie en permanente denial of service mogelijk maken .

• Zen 5 microcode-bug (CVE-2025-62626, 2025): Een kritieke kwetsbaarheid in Zen 5 die mogelijk voorspelbare willekeurige getallensleutels (RDSEED) genereerde, gepatcht via een AGESA-firmware-update .

• CVE-2024-56161 (februari 2025): Een kritieke fout (CVSS 7.2) die Secure Encrypted Virtualization (SEV-SNP)-bescherming kon doorbreken door het mogelijk maken van schadelijke microcode-injectie als gevolg van ontoereikende handtekeningverificatie .

• AGESA bootloader buffer overflow (CVE-2025-29951): Een kwetsbaarheid in de AMD Secure Processor (ASP)-bootloader die privilege-escalatie en willekeurige code-uitvoering mogelijk maakte .

• Langdurige AGESA-transparantieproblemen: AMD heeft kritiek gekregen vanwege zijn closed-source AGESA-firmware — het tegenovergestelde van de open-source AMD openSIL-firmware waarvan het sinds 2023 belooft over te stappen . Dit gebrek aan zichtbaarheid betekent dat beveiligingswijzigingen zoals de TSME-verwijdering kunnen worden doorgevoerd zonder onafhankelijke controle.

Wat Dit Betekent voor de Toekomst

De TSME-verwijdering past in een breder patroon: beveiligingsbeïnvloedende wijzigingen die stilletjes worden doorgevoerd via propriëtaire AGESA-firmware, alleen ontdekt door onafhankelijke onderzoekers, gevolgd door een reactieve respons pas na publieke druk. Het incident heeft de roep om AMD versneld te laten overstappen op het open-source openSIL-firmware-initiatief vernieuwd . Voor nu moeten Ryzen-gebruikers zich ervan bewust zijn dat de beveiligingsfuncties die hun systeem rapporteert, mogelijk niet overeenkomen met wat de firmware daadwerkelijk levert — en dat onafhankelijke verificatie de enige manier kan zijn om zeker te zijn.