AMD тихо вимкнула TSME-шифрування пам'яті у споживчих Ryzen: як це виявили та чому це важливо

Як виявили та підтвердили зміну

Виявлення сталося з несподіваного джерела — від звичайного користувача Linux, який дбав про свою конфіденційність.

Виявлення: Дослідник безпеки Бен Кілпатрік помітив, що TSME зникла з його системи Ryzen після оновлення прошивки. Він розпочав багатомісячне розслідування, результати якого відстежувалися на GitHub .

Підтвердження: Кілпатрік запустив Host Security ID (HSI) — інструмент для аудиту прошивки, який повідомив, що TSME більше не підтримується, хоча на попередніх версіях прошивки він мав опцію BIOS для її ввімкнення . Зміну було чітко пов'язано з AGESA 1.2.7.0. Компанія MSI, виробник материнських плат, пізніше підтвердила, що TSME була доступна в AGESA 1.2.6.0, але вимкнена в новішій збірці .

Чому це було важко виявити: На системах Windows у користувачів не було практичного способу помітити зміну. На Linux виявлення вимагало запуску спеціалізованих інструментів аудиту . Якби не розслідування Кілпатріка, ця зміна могла залишитися непоміченою на невизначений час .

Реакція спільноти та компанії

Реакція спільноти: Обурення було миттєвим та масовим.

• Дослідники безпеки та ентузіасти назвали тихе видалення серйозним порушенням довіри .
• Історія потрапила на першу сходинку Hacker News 18 червня 2026 року як найбільш обговорювана тема .
• Критика зосередилася на повній відсутності прозорості: не було жодного сповіщення про безпеку, жодного рядка в журналі змін, а інженери AMD спочатку зберігали мовчання, коли до них зверталися за поясненнями .

Офіційна відповідь AMD: Після хвилі критики AMD випустила заяву:

«Стосовно певних десктопних процесорів серії Ryzen 9000 не-PRO: опція BIOS для ввімкнення Memory Guard була раніше доступна, але була вилучена в останньому оновленні. Завдяки цінному зворотному зв'язку від спільноти ми відновимо цю опцію в наступному оновленні BIOS у липні.»

AMD підтвердила, що:

• Серія Ryzen PRO назавжди збереже TSME .
• Споживчі Ryzen 9000 (не-PRO) отримають TSME назад через оновлення BIOS у липні 2026 року .

AMD заявила, що «цінує безпеку даних клієнтів», але так і не надала публічного пояснення, чому TSME було прибрано — чи то ліцензійне рішення, чи то спроба сегментувати ринок, чи внутрішня помилка .

Ширша картина: проблема прозорості прошивок AMD

Інцидент із TSME — не поодинокий випадок. Він вписується в модель змін, що впливають на безпеку, які тихо вносяться через закриту прошивку AGESA:

• Вразливість DDR5 PMIC в AGESA (CVE-2025-48516, травень 2026): Небезпечна конфігурація за замовчуванням у завантажувачі AGESA для модулів пам'яті DDR5, що дозволяла локальне підвищення привілеїв та постійну відмову в обслуговуванні .

• Помилка мікрокоду Zen 5 (CVE-2025-62626, 2025): Вразливість високої серйозності в Zen 5, яка генерувала потенційно передбачувані ключі випадкових чисел (RDSEED), виправлена через оновлення прошивки AGESA .

• CVE-2024-56161 (лютий 2025): Критична вразливість (CVSS 7.2), яка могла зламати захист Secure Encrypted Virtualization (SEV-SNP), дозволяючи впровадження шкідливого мікрокоду через недостатню перевірку підпису .

• Переповнення буфера в завантажувачі AGESA (CVE-2025-29951): Вразливість у завантажувачі безпечного процесора AMD (ASP), що дозволяла підвищення привілеїв та виконання довільного коду .

• Давні проблеми з прозорістю AGESA: AMD отримує критику за свою закриту прошивку AGESA — повну протилежність відкритій прошивці AMD openSIL, перехід на яку компанія обіцяла з 2023 року . Через цю непрозорість зміни безпеки, як-от вимкнення TSME, можуть вислизати без незалежного аудиту.

Що це означає на майбутнє

Видалення TSME вписується в ширшу модель: зміни, що впливають на безпеку, вносяться тихо через закриту прошивку AGESA, виявляються лише незалежними дослідниками, а реагують на них лише після публічного тиску. Інцидент відновив заклики до AMD прискорити перехід на відкриту прошивку openSIL . Наразі користувачам Ryzen варто пам'ятати: функції безпеки, про які повідомляє їхня система, можуть не збігатися з тим, що насправді робить прошивка, і незалежна перевірка може бути єдиним способом бути впевненим.