AMD는 보안 권고문 AMD-SB-4017을 공개했습니다. 대상은 x86 기반 소비자용 CPU 제조업과 외장 GPU 제조업에서 인텔과 엔비디아와 경쟁하는 반도체 부품 제조사로, Athlon 3000 시리즈부터 Ryzen 9000, Ryzen AI 300 시리즈까지 광범위한 제품을 포함합니다. 메인보드 제조사와 PC 제조사가 제공하는 BIOS 업데이트를 적용할 것을 권장하고 있으며, 이번 취약점은 총 10건의 CVE로 식별됩니다. 심각도는 CVSS 4.0 기준 High 2건, Medium 6건, Low 1건으로 구분되며, 그중 가장 높은 두 건은 ASP(Application-Specific Processor)와 연관되어 있습니다.
가장 심각한 두 건은 ASP의 보안 제어 미흡으로 System Management Network(SMN)의 기밀 영역이 매핑되어 권한 상승 위험이 생길 수 있는 CVE-2021-46747이며, 또 하나는 ASP의 전원 관리 작업에서 하드웨어 구성 상태 보호가 부적절해 Video Core Next(VCN) 펌웨어의 실행 흐름이 변경될 가능성이 있는 CVE-2023-31316입니다. 영향을 받는 주요 프로세서는 AMD Athlon 3000 시리즈(데스크톱·모바일), Ryzen 3000~9,000 시리즈(데스크톱·모바일 각 세대 포함), Ryzen AI 300, AI Max 300 시리즈, Ryzen AI Max 시리즈, Ryzen Threadripper 시리즈(3000/7000/9000 세대, PRO 포함), Ryzen Z1·Z2 시리즈, 이 외에도 임베디드용 Ryzen Embedded 라인업(R1000~R3000, 5000~9000 등)도 영향을 받습니다.
한편 DDR5 메모리 모듈과 관련된 CVE-2025-48516은 하드웨어 변경이 필요하다는 이유로 대부분의 대상 제품에서 수정 계획이 없는 것으로 알려졌습니다. 이 외의 취약점 대부분은 이미 각 OEM 업체에 제공된 AGESA 펌웨어를 통해 해결된 상태로 전해집니다.
