Błąd automatycznej aktualizacji AMD: Wyjaśnienie krytycznej luki RCE

Dowiedz się o luce w automatycznej aktualizacji AMD, która może umożliwić zdalne wykonanie kodu (RCE). Odkryj sprzęt podatny na ataki, taki jak RX Vega, i dowiedz się, jak zabezpieczyć swój system.

---

Wstęp – dla kogo jest ten artykuł?

Krytyczna luka bezpieczeństwa w narzędziu do automatycznej aktualizacji oprogramowania AMD pozostaje niezałatana dla wielu użytkowników. Dowiedz się, które systemy są potencjalnie zagrożone i co to oznacza dla bezpieczeństwa Twojego urządzenia.

---

Utrzymywanie aktualności systemu jest zazwyczaj pierwszą linią obrony przed cyfrowymi zagrożeniami, jednak niedawno ujawniona luka w mechanizmie auto-aktualizacji AMD odwróciła tę dynamikę. Raporty wskazują, że samo narzędzie zaprojektowane do dostarczania poprawek bezpieczeństwa może w rzeczywistości służyć jako główny wektor ataku ^[3][9]. Ponieważ AMD rzekomo odmówiło załatania tej podatności dla kilku linii sprzętowych, wielu użytkowników może narazić swoje systemy na trwałe ryzyko ^[1][11].

Ten artykuł jest przeznaczony dla:

• Użytkowników kart graficznych AMD Radeon, w tym serii RX Vega oraz Radeon PRO VII ^[1].
• Właścicieli kart z serii Radeon 7000 i Radeon Pro W7000, zaniepokojonych exploitami o wysokim stopniu zagrożenia ^[8].
• Administratorów systemów i osób dbających o bezpieczeństwo, które korzystają z oprogramowania do automatycznej aktualizacji AMD ^[3][6].

Omówimy specyfikę luki umożliwiającej Zdalne Wykonanie Kodu (RCE), powody, dla których niektóre urządzenia nie otrzymają poprawki, oraz oficjalne stanowisko AMD dotyczące raportów bezpieczeństwa uznanych za „poza zakresem” ^[10][11][14]. Niniejszy przewodnik nie obejmuje procesów ręcznej instalacji sterowników ani ogólnego rozwiązywania problemów z wydajnością GPU.

TL;DR / Co to oznacza dla Ciebie

• Krytyczne poziomy zagrożenia: Wiele podatności wpływających na sprzęt AMD posiada wysokie oceny ryzyka, z wynikami CVSS od 8.8 do 9.8 ^{[2][10][11][14]}. Luki te mogą potencjalnie umożliwić nieautoryzowany dostęp do fizycznej pamięci hosta lub prowadzić do całkowitej utraty integralności systemu ^[2][3].
• Selektywne poprawki: Chociaż wydano środki łagodzące dla linii produktów EPYC i Ryzen ^[15], AMD oficjalnie oświadczyło, że nie wyda poprawki dla CVE-2023-31306 dla sprzętu RX Vega i Radeon PRO VII ze względu na wysokie ryzyko niestabilności systemu ^[5].
• Wymagane aktualizacje: Aby ograniczyć skutki znanych exploitów, użytkownicy indywidualni powinni zaktualizować oprogramowanie do wersji AMD Software: Adrenalin Edition 24.10.1 lub nowszej ^[4], natomiast środowiska centrów danych wymagają wersji ROCm 6.4 lub wyższej ^[1].
• Ryzyko wirtualizacji: Specyficzne podatności, takie jak CVE-2024-36312 (CVSS 8.8), są szczególnie niebezpieczne dla środowisk chmurowych lub wielodostępowych, ponieważ mogą pozwolić maszynom wirtualnym gościa na odczyt i zapis w pamięci hosta ^[2].
• Niezweryfikowane zagrożenia: Raporty branżowe sugerują, że nowsze luki z 2026 roku mogą umożliwić zdalne wykonanie kodu (RCE) typu „one-click” w celu kradzieży kluczy szyfrujących, choć te konkretne twierdzenia nie mają obecnie oficjalnego potwierdzenia od producenta ^[9].

Uwaga dotycząca ryzyka: Korzystanie ze starszego sprzętu, takiego jak karty z serii RX Vega, może wiązać się z nieodłącznymi kompromisami w zakresie bezpieczeństwa, ponieważ niektóre krytyczne luki pozostaną niezałatane, aby uniknąć regresji sprzętowej ^[5]. Użytkownicy powinni ocenić ryzyko potencjalnego wycieku danych w stosunku do stabilności obecnego środowiska sterowników.

Kluczowe źródła (Szybkie linki)

• AMD — AMD Graphics Vulnerabilities – August 2025 ^[1]
• Tom's Hardware — Security researcher says AMD auto-updater downloads software insecurely, enab... ^[2]
• WinBuzzer — AMD Won't Fix Critical RCE Vulnerability in its AutoUpdate Software ^[3]

Podstawowe informacje

Narzędzie AMD AutoUpdate to program zaprojektowany do automatycznego zarządzania instalacją i aktualizacją sterowników dla sprzętu AMD ^[1][10]. Wprowadzone około 2017 roku, narzędzie to upraszcza konserwację systemu poprzez sprawdzanie dostępności nowych wersji oprogramowania i pobieranie ich bezpośrednio na komputer użytkownika ^[2][4]. Jest to standardowy komponent dla wielu użytkowników korzystających z kart graficznych i procesorów AMD ^[1][10].

Audyty techniczne zidentyfikowały ten mechanizm automatycznej aktualizacji jako główny wektor krytycznej luki bezpieczeństwa ^[9][113]. Podatność koncentruje się na sposobie, w jaki oprogramowanie komunikuje się z zewnętrznymi serwerami i zarządza pobieranymi plikami ^[3][5]. Eksperci sugerują, że projekt narzędzia może nie posiadać nowoczesnych protokołów bezpieczeństwa wymaganych do ochrony użytkowników przed przechwyceniem danych ^[7][10].

Badacze bezpieczeństwa wymieniają dwie główne awarie techniczne dotyczące tego narzędzia. Po pierwsze, oprogramowanie rzekomo używa nieszyfrowanych połączeń HTTP zamiast bezpiecznych połączeń HTTPS do pobierania aktualizacji ^[7][10]. Po drugie, narzędzie wydaje się pomijać walidację podpisu kodu, czyli proces potwierdzający, że plik jest autentyczny i nie został uszkodzony ani zmieniony przez osoby trzecie ^[3][5].

---

Zrozumienie zagrożeń

Połączenie niezabezpieczonych połączeń i braku weryfikacji stwarza ryzyko ataków typu Man-in-the-Middle (MitM) ^[2][14]. W takim scenariuszu napastnik mógłby potencjalnie przechwycić proces pobierania i zastąpić legalny sterownik AMD złośliwym oprogramowaniem ^[14][15]. Ponieważ program aktualizujący często działa z wysokimi uprawnieniami systemowymi, może to prowadzić do Zdalnego Wykonania Kodu (RCE), umożliwiając nieautoryzowany dostęp do całego komputera ^[3][15].

Funkcja	Zgłoszony status	Potencjalny wpływ na bezpieczeństwo
Typ połączenia	Nieszyfrowane HTTP [7][10]	Ruch może zostać przechwycony lub zmodyfikowany
Weryfikacja plików	Brak walidacji podpisu [5]	Złośliwe pliki mogą zostać uznane za „zaufane”
Poziom uprawnień	Uprawnienia systemowe [15]	Ryzyko całkowitego przejęcia systemu

Ostrzeżenie: Badacze bezpieczeństwa odkryli tę konkretną lukę RCE 27 stycznia 2026 r., a publicznie ujawniono ją 6 lutego 2026 r. ^[8][11]. Raporty wskazują, że AMD sklasyfikowało tego typu ataki polegające na przechwytywaniu danych jako „poza zakresem” (out of scope) swojego obecnego programu bug bounty ^[2][14].

Wyjaśnienie problemu (Co się dzieje?)

Niedawne raporty wskazują, że mechanizm AMD auto-updater pobiera aktualizacje oprogramowania przez niezabezpieczone kanały ^[1]. Badacze bezpieczeństwa sugerują, że ta luka może umożliwić ataki typu Man-in-the-Middle (MiTM), pozwalając napastnikom na przechwycenie połączenia i wykonanie dowolnego kodu w systemie użytkownika ^[1]. Podczas gdy badacze podkreślają to jako krytyczną podatność, przedstawiciele firmy rzekomo stwierdzili, że ataki MiTM są „poza zakresem” ich modelu bezpieczeństwa ^[1].

Sytuację komplikuje kilka podatności o wysokim stopniu dotkliwości, wpływających na różne linie produktów AMD. Luki te często wiążą się z niewłaściwą walidacją danych wejściowych lub błędami typu „type confusion” w procesorach bezpieczeństwa sprzętu ^[6][7]. Praktyczny wpływ waha się od nieautoryzowanego dostępu do danych po całkowite przejęcie systemu ^[2][12].

Aktualny krajobraz podatności

Poniższa tabela podsumowuje kluczowe luki bezpieczeństwa zidentyfikowane w ostatnich analizach technicznych:

Identyfikator CVE	Wynik CVSS	Główny wpływ	Produkty, których dotyczy problem
CVE-2023-31322	9.3 [7]	Utrata poufności/integralności	Radeon 7000 i Pro W7000 [7]
CVE-2024-36312	8.8 [3]	Dowolny odczyt/zapis w pamięci hosta	Przestrzeń HW VCN-JPEG [3]
CVE-2026-25253	8.8 [13]	Potencjalne RCE „one-click”	Różne (niezweryfikowane) [2]
CVE-2026-24936	N/A	Nieautoryzowany zapis danych	ADM 5.0.0 do 5.1.1.RCI1 [11][12]

---

Zasięg i potencjalny wpływ

Zakres tych zagrożeń bezpieczeństwa jest znaczny i potencjalnie dotyczy milionów urządzeń na całym świecie ^[1]. Analitycy branżowi szacują, że procesory AMD wyprodukowane nawet w 2006 roku mogą być podatne na niektóre exploity ^[15]. Niezweryfikowane raporty o incydentach sugerują, że miliony maszyn mogłyby zostać zainfekowane w krótkim czasie, gdyby te luki zostały aktywnie wykorzystane ^[8].

Poza indywidualnym sprzętem konsumenckim, luki te wpływają na centra danych i środowiska zwirtualizowane. Na przykład CVE-2024-36312 pozwala maszynom wirtualnym gościa na obejście barier bezpieczeństwa i uzyskanie dostępu do odczytu/zapisu w fizycznej pamięci systemu hosta ^[3]. Główni dostawcy usług, tacy jak Amazon, sklasyfikowali te zagrożenia jako „Ważne” ze względu na ich potencjał do zakłócania bezpiecznych operacji ^[10].

Ograniczenia w odpowiedzi producenta

Istnieją wyraźne ograniczenia w oferowanych obecnie środkach zaradczych. AMD oświadczyło, że nie wyda poprawki dla CVE-2023-31306 dla sprzętu RX Vega i Radeon PRO VII ^[14]. Firma wskazała, że próba załatania tych konkretnych modeli wiązała się z wysokim ryzykiem niestabilności systemu i regresji wydajności ^[14].

Ponadto, chociaż niektóre środki łagodzące zostały wydane pod koniec 2024 i na początku 2025 roku, wymagają one od użytkowników ręcznej aktualizacji do określonych wersji oprogramowania, takich jak Adrenalin Edition 24.10.1 lub ROCm 6.4 ^[4][5]. Pozostawia to użytkowników polegających na automatycznym narzędziu do aktualizacji w potencjalnie wrażliwym stanie, jeśli podstawowy mechanizm pobierania pozostaje niezabezpieczony ^[1].

Analiza przyczyn źródłowych (Dlaczego tak się dzieje?)

Analiza przyczyn źródłowych tych luk bezpieczeństwa wymaga przyjrzenia się zarówno ograniczeniom sprzętowym, jak i procesom walidacji oprogramowania. Badacze bezpieczeństwa i oficjalne raporty sugerują, że utrzymywanie się tych zagrożeń często wynika z połączenia architektury i technicznej złożoności nowoczesnych aktualizacji sterowników.

---

Potwierdzone czynniki techniczne

Następujące czynniki zostały zweryfikowane poprzez oficjalną dokumentację i raporty o incydentach od producentów oraz z baz danych bezpieczeństwa:

• Ryzyko regresji systemu: W szczególnych przypadkach producenci mogą zdecydować się na niewydawanie poprawki dla znanej luki. Na przykład AMD stwierdziło, że nie wyda poprawki dla CVE-2023-31306 dla sprzętu RX Vega i Radeon PRO VII, ponieważ poprawka stwarzała znaczne ryzyko niestabilności systemu i regresji wydajności ^[3].
• Niewłaściwa walidacja danych wejściowych: Kilka podatności jest sklasyfikowanych jako CWE-20 (Improper Input Validation) ^[13]. Dzieje się tak, gdy oprogramowanie nie sprawdza poprawnie danych przed ich przetworzeniem, co potencjalnie pozwala złośliwym podmiotom na obejście kontroli bezpieczeństwa. Wersje oprogramowania takie jak ADM 4.1.0 do 4.3.3.ROF1 zostały wyraźnie zidentyfikowane jako dotknięte tymi błędami walidacji ^[9].
• Podatności procesora bezpieczeństwa: Krytyczne luki mogą pojawić się w AMD Secure Processor (ASP). Na przykład CVE-2023-31322 — który posiada wynik CVSS 4.0 na poziomie 9.3 — wynikał z błędu „type confusion” wewnątrz ASP, wpływając na karty z serii Radeon 7000 i Pro W7000 ^[7].
• Błędy kontroli pamięci sprzętowej: Podatności takie jak CVE-2024-36312 (CVSS 8.8) istnieją ze względu na sposób zarządzania rejestrem kontrolnym przestrzeni pamięci sprzętowej VCN-JPEG ^[5]. Pozwala to maszynom wirtualnym gościa na potencjalne uzyskanie nieautoryzowanego dostępu do odczytu/zapisu w fizycznej pamięci hosta ^[5].

---

Hipotezy i analiza branżowa

Chociaż nie wszystkie przyczyny są oficjalnie potwierdzone dla każdego incydentu, analitycy branżowi i niezweryfikowane raporty wskazują na kilku prawdopodobnych winowajców:

• Zagrożona infrastruktura aktualizacji: Plotki sugerują, że hakerzy mogą uzyskiwać dostęp do aktualizacji oprogramowania, wykorzystując luki u dostawców hostingu współdzielonego, z których korzystają producenci oprogramowania ^[10]. Chociaż niektórzy dostawcy potwierdzili naruszenia serwerów, konkretne metody włamań często pozostają niezweryfikowane ^[10].
• Szybkie cykle eksploatacji: Niezweryfikowane dane z incydentu CVE-2024-YIKES sugerują, że szacunkowo 4,2 miliona maszyn może zostać zainfekowanych w zaledwie 73 godziny podczas aktywnego okna ataku ^[11][14]. Wskazuje to, że szybkość nowoczesnych ataków może przewyższać standardowy cykl testowania i wydawania aktualizacji sterowników.
• Potencjał eksploatacji „one-click”: Zewnętrzna analiza CVE-2026-25253 sugeruje, że niektóre luki mogą pozwalać na RCE typu „one-click” (zdalne wykonanie kodu za jednym kliknięciem), potencjalnie umożliwiając kradzież kluczy szyfrujących i wrażliwych danych ^[15]. Pozostaje to niezweryfikowanym ryzykiem, ale podkreśla potencjalną powagę niezałatanych mechanizmów aktualizacji.

---

Podsumowanie krajobrazu podatności

Podatność	Status	Główna przyczyna
CVE-2023-31306	Brak poprawki (Legacy)	Ryzyko regresji/niestabilności [3]
CVE-2024-36312	Wydano poprawkę	Kontrola rejestru pamięci [5]
CVE-2026-24936	Potwierdzona	Niewłaściwa walidacja danych wejściowych [13]
CVE-2024-YIKES	Zgłoszony incydent	Awaria infrastruktury (niezweryfikowana) [1][14]

Oficjalne plany łagodzenia skutków wskazują, że określone wersje oprogramowania, takie jak ROCm wersja 6.4 wydana w kwietniu 2025 r., są wymagane do usunięcia luk w profesjonalnych produktach dla centrów danych, takich jak seria Instinct ^[2]. W przypadku produktów konsumenckich, aktualizacje takie jak AMD Software: Adrenalin Edition 24.10.1 były wydawane w celu usunięcia różnych exploitów sterowników ^[4].

Dowody i rzeczywistość

Oficjalna dokumentacja i niezależne badania bezpieczeństwa potwierdzają złożony krajobraz załatanych i niezałatanych podatności w ekosystemie AMD. Chociaż producent często wydaje aktualizacje w celu złagodzenia zagrożeń o wysokim stopniu dotkliwości, pewne kwestie architektoniczne i ograniczenia starszego sprzętu doprowadziły do powstania trwałych luk w zabezpieczeniach.

Dane z oficjalnych biuletynów bezpieczeństwa podkreślają kilka krytycznych podatności i ścieżki ich łagodzenia:

Podatność	Wynik CVSS	Sprzęt, którego dotyczy problem	Status
CVE-2023-31322	9.3	Radeon 7000 / Pro W7000	Załatana przez aktualizacje Secure Processor (ASP) [8].
CVE-2024-36312	8.8	VCN-JPEG HW	Pozwala maszynom wirtualnym gościa na dostęp do pamięci hosta [3].
CVE-2023-31306	N/A	RX Vega / Radeon PRO VII	Brak planowanej poprawki ze względu na ryzyko niestabilności [4].

Oficjalne raporty potwierdzają, że oprogramowanie AMD Software: Adrenalin Edition 24.10.1 zostało wydane 26 listopada 2024 r., aby usunąć różne exploity sterowników konsumenckich ^[2]. W środowiskach centrów danych wymagana jest wersja ROCm 6.4, wydana 11 kwietnia 2025 r., aby zabezpieczyć produkty graficzne z serii Instinct przed znanymi lukami ^[1].

Niezależni badacze skupili się szczególnie na bezpieczeństwie narzędzia AMD auto-updater. Obserwacje wskazują, że program pobiera główną listę aktualizacji (link Devlpment) przez szyfrowane połączenie HTTPS ^[11]. Jednak raporty sugerują, że przedstawiciel firmy mógł skategoryzować ataki typu man-in-the-middle (MitM) jako „poza zakresem”, co prowadzi do twierdzeń, że proces aktualizacji pozostaje obsługiwany w sposób niebezpieczny ^[7][11].

Niepotwierdzone raporty i techniczne plotki sugerują potencjał znacznego wpływu, choć twierdzenia te różnią się wiarygodnością:

• Plotki sugerują, że luka w auto-aktualizacji może potencjalnie dotyczyć milionów urządzeń na całym świecie w oparciu o obecny udział w rynku ^[7].
• Zewnętrzna analiza CVE-2026-25253 (niezweryfikowana) sugeruje, że może ona pozwalać na RCE typu „one-click” w celu kradzieży danych i kluczy szyfrujących ^[13].
• CVE-2026-24936 jest sklasyfikowana jako CWE-20 (Improper Input Validation), co wskazuje na słabości w sposobie przetwarzania danych zewnętrznych przez oprogramowanie ^[14].
• Niektóre raporty o incydentach, takie jak CVE-2024-YIKES, wspominają o milionach naruszeń, ale są obecnie uważane za część fikcyjnej lub satyrycznej narracji i nie mają oficjalnego potwierdzenia ^[5][9].

Warto zauważyć, że według stanu na tydzień 5 stycznia 2026 r., AMD nie figurowało jako dostawca z potwierdzonymi lukami w auto-aktualizacji w oficjalnych biuletynach CISA ^[10]. Wskazuje to na rozbieżność między twierdzeniami badaczy a oficjalnym śledzeniem podatności na szczeblu rządowym. Analitycy branżowi sugerują, że choć techniczne wektory dla ataków MitM istnieją, praktyczna implementacja takiego exploita wymaga specyficznych warunków sieciowych.

Autodiagnoza / Sprawdzenie systemu

Zidentyfikowanie, czy system jest podatny na te specyficzne zagrożenia bezpieczeństwa AMD, wymaga zweryfikowania modeli sprzętu, wersji sterowników i konkretnych konfiguracji oprogramowania.

Wykonaj poniższe kroki, aby zdiagnozować obecny poziom ryzyka:

1. Zidentyfikuj swój sprzęt graficzny

Konkretne podatności są powiązane z poszczególnymi generacjami sprzętu. Możesz sprawdzić swój model w Menedżerze urządzeń systemu Windows w sekcji Karty graficzne lub skorzystać z panelu AMD Software: Adrenalin Edition.

• Serie wysokiego ryzyka: Właściciele kart z serii Radeon 7000 i Radeon Pro W7000 są dotknięci luką CVE-2023-31322, czyli błędem „type confusion” o wysokim stopniu dotkliwości ^[2].
• Serie bez wsparcia poprawek: Użytkownicy sprzętu RX Vega lub Radeon PRO VII powinni mieć świadomość, że luka CVE-2023-31306 nie zostanie załatana dla tych produktów ze względu na ryzyko niestabilności ^[3].
• Serie dla centrów danych: Upewnij się, że produkty z serii Instinct są zidentyfikowane pod kątem specyficznych wymagań ROCm ^[1].

2. Zweryfikuj wersje sterowników i oprogramowania

Wersja sterownika określa, czy otrzymałeś najnowsze poprawki bezpieczeństwa.

Oprogramowanie/Sterownik	Wymagana wersja dla poprawki	Data wydania
AMD Software: Adrenalin Edition	24.10.1 lub wyższa [7]	26 listopada 2024
ROCm (Seria Instinct)	6.4 lub wyższa [1]	11 kwietnia 2025
ASUSTOR Data Master (ADM)	Wyższa niż 5.1.1.RCI1 [5]	Różne

---

3. Sprawdź użycie narzędzia Auto-Updater

Raporty badaczy bezpieczeństwa sugerują, że AMD auto-updater może pobierać oprogramowanie w sposób niebezpieczny, co potencjalnie umożliwia ataki man-in-the-middle (MitM) ^[8]. Aby ocenić to ryzyko:

• Sprawdź, czy w ustawieniach oprogramowania włączona jest opcja „Zawsze aktualizuj oprogramowanie AMD”.
• Pamiętaj, że niepotwierdzone raporty sugerują, iż ta luka może potencjalnie dotyczyć milionów urządzeń na całym świecie ^[8].

4. Sprawdź konflikty z oprogramowaniem do zarządzania

Narzędzia firm trzecich używane wraz ze sterownikami AMD mogą czasami przesłaniać status oprogramowania lub powodować błędy profili wydajności. MSI Afterburner i RivaTuner są znane z okazjonalnych konfliktów z funkcjami profilowania AMD Adrenalin ^[14]. Upewnij się, że te narzędzia są wyłączone podczas sprawdzania wersji, aby zagwarantować dokładność danych.

5. Oceń uprawnienia systemowe

Określ, czy Twoje codzienne konto użytkownika działa z uprawnieniami administracyjnymi lub dostępem na poziomie jądra (kernel). Wiele krytycznych błędów, w tym luka „Sinkclose”, zazwyczaj wymaga dostępu na poziomie jądra do udanego ataku ^[11]. Jeśli Twoje środowisko systemowe ogranicza te uprawnienia, praktyczne ryzyko ataku może być mniejsze.

6. Przejrzyj oprogramowanie układowe NAS (jeśli dotyczy)

Jeśli korzystasz z urządzeń sieciowej pamięci masowej (NAS) opartych na AMD, w szczególności tych z systemem ASUSTOR Data Master (ADM), sprawdź wersję w menu ustawień. Podatne wersje to ADM 4.1.0 do 4.3.3.ROF1 oraz 5.0.0 do 5.1.1.RCI1 ^[5][10].

Rozwiązania / Co należy zrobić

Rozwiązanie problemów związanych z bezpieczeństwem w środowiskach sprzętowych i programowych wymaga ustrukturyzowanego podejścia, zwłaszcza gdy oficjalne wsparcie dla starszych produktów zostało zakończone. Ponieważ AMD odmówiło załatania niektórych luk w starszych lub wycofanych z eksploatacji (EOL) wersjach oprogramowania ^[12], użytkownicy muszą ustalić, czy ich konkretny sprzęt kwalifikuje się do aktualizacji, czy konieczna jest wymiana.

Działania krótkoterminowe: Natychmiastowe aktualizacje

Pierwszym krokiem w łagodzeniu znanych podatności jest zastosowanie najnowszych dostępnych poprawek oprogramowania i oprogramowania układowego (firmware). Chociaż niektóre starsze komponenty nie otrzymają poprawek, wiele aktywnych linii produktów otrzymało krytyczne aktualizacje.

• Aktualizacja sterowników GPU: W przypadku konsumenckich produktów Radeon upewnij się, że oprogramowanie AMD Software: Adrenalin Edition jest zaktualizowane do wersji 24.10.1 lub nowszej ^[3]. To wydanie konkretnie adresuje różne exploity sterowników zidentyfikowane pod koniec 2024 roku ^[3].
• Aktualizacja oprogramowania centrów danych: Systemy wykorzystujące akceleratory serii Instinct wymagają wersji ROCm 6.4, wydanej 11 kwietnia 2025 r., aby złagodzić kilka luk graficznych specyficznych dla centrów danych ^[1].
• Zastosowanie poprawek procesora: Właściciele procesorów serii Ryzen 3000 i nowszych powinni sprawdzić dostępność poprawek bezpieczeństwa ^[10]. Oficjalne biuletyny bezpieczeństwa wskazują, że poprawki zostały wydane dla większości linii produktów EPYC i Ryzen w celu usunięcia luki Sinkclose ^[9].
• Poprawki na poziomie systemu operacyjnego: Użytkownicy wyspecjalizowanych platform, takich jak Amazon Linux 2, muszą zaktualizować system do wersji kernel-4.14.355-280.713.amzn2, aby rozwiązać specyficzne problemy związane z pakietami ^[11].

Strategie długoterminowe: Zarządzanie sprzętem i cyklem życia

Gdy producent zidentyfikuje lukę, ale odmówi jej załatania ze względu na ryzyko niestabilności systemu, użytkownicy często stają przed koniecznością wymiany sprzętu jako jedynym ostatecznym rozwiązaniem.

Seria sprzętu	Status podatności	Zalecane działanie
Radeon 7000	Dostępne poprawki dla CVE-2023-31322 [5].	Aktualizacja do najnowszego sterownika Adrenalin [3].
RX Vega / Radeon PRO VII	Brak planowanej poprawki dla CVE-2023-31306 [2].	Rozważ wymianę sprzętu w środowiskach o wysokim poziomie bezpieczeama [12].
Starsze oprogramowanie (EOL)	Brak dalszych poprawek bezpieczeństwa [12].	Przejście na aktualnie wspierane wersje sprzętu/oprogramowania [12].

W przypadku sprzętu, który nie otrzyma poprawki, takiego jak serie RX Vega i Radeon PRO VII, badacze sugerują, że naprawienie problemów stwarzałoby znaczne ryzyko regresji i niestabilności ^[2]. W takich przypadkach analitycy zazwyczaj zalecają migrację do nowszych architektur sprzętowych, które otrzymują aktywne wsparcie bezpieczeństwa.

---

Zaawansowane metody łagodzenia skutków głębokich infekcji

W scenariuszach, w których podejrzewa się, że system został zainfekowany przez błędy wysokiego poziomu, takie jak Sinkclose, standardowa dezynfekcja programowa lub ponowna instalacja systemu operacyjnego może być niewystarczająca ^[14].

Ostrzeżenie: Naprawa głęboko osadzonych infekcji oprogramowania układowego może wymagać specjalistycznych narzędzi sprzętowych.

Dowody sugerują, że usunięcie infekcji Sinkclose może wymagać użycia programatora SPI Flash w celu ręcznego nadpisania oprogramowania układowego ^[14]. Jest to zazwyczaj uważane za procedurę zaawansowaną i niesie ze sobą ryzyko trwałego uszkodzenia sprzętu w przypadku nieprawidłowego wykonania.

Ryzyko i ograniczenia

Chociaż powyższe kroki znacznie minimalizują ryzyko, nie dają gwarancji ochrony przed wszystkimi potencjalnymi exploitami. Użytkownicy powinni być świadomi następujących ograniczeń:

• Wpływ na wydajność: Stosowanie poprawek bezpieczeństwa w starszych architekturach może czasami prowadzić do zmniejszenia wydajności lub niestabilności systemu ^[2].
• Brak ręcznych obejść: W przypadku niektórych podatności, takich jak te znalezione w komponentach firm trzecich (np. vProxy), obecnie nie istnieją żadne ręczne obejścia ani działania naprawcze poza oficjalnymi aktualizacjami ^[4].
• Podatność sprzętowa: Jeśli sprzęt fizycznie nie jest w stanie obsłużyć bezpiecznego rozruchu (secure boot) lub załatanego zestawu instrukcji, aktualizacje oprogramowania mogą oferować jedynie częściową ochronę.

Ryzyko, ograniczenia i kiedy przestać

Próba zabezpieczenia systemu przed podatnościami na poziomie sprzętowym wiąże się z nieodłącznymi kompromisami między bezpieczeństwem systemu a stabilnością operacyjną. Zrozumienie tych granic jest niezbędne do utrzymania funkcjonalnej stacji roboczej lub komputera do gier.

Stabilność a ryzyko bezpieczeństwa

Jednym z głównych ryzyk przy stosowaniu poprawek bezpieczeństwa jest potencjalna niestabilność systemu lub regresja wydajności. AMD wyraźnie stwierdziło, że w przypadku niektórych starszych urządzeń, takich jak serie RX Vega i Radeon PRO VII, naprawienie specyficznych luk, takich jak CVE-2023-31306, stwarzało zbyt duże ryzyko spowodowania błędów w oprogramowaniu ^[1]. W takich przypadkach producent może przedłożyć stabilność pracy użytkownika nad łatanie znanych luk bezpieczeństwa ^[1][4].

Dodatkowo, choć niektóre podatności mają wysokie oceny dotkliwości — jak np. wynik CVSS 9.3 dla CVE-2023-31322 — ich wykorzystanie często wymaga spełnienia istotnych warunków wstępnych ^[3]. Wiele z tych błędów wymaga dostępu na poziomie jądra lub uprawnień lokalnego administratora (Ring 0) do wykonania ^[10][13]. Oznacza to, że choć ryzyko jest poważne, prawdopodobieństwo ataku może być niższe dla użytkowników, którzy zachowują ścisłą kontrolę nad instalowanym lokalnie oprogramowaniem.

---

Kiedy przestać i szukać profesjonalnej pomocy

Ręczna ingerencja w pliki sterowników lub ustawienia rejestru może prowadzić do uszkodzenia systemu operacyjnego lub utraty danych. Powinieneś przerwać samodzielne działania i skonsultować się z profesjonalnym technikiem, jeśli napotkasz następujące scenariusze:

• Utrzymujące się błędy rozruchu: Jeśli system nie uruchamia się po próbie ręcznej instalacji sterownika lub aktualizacji BIOS-u w celu złagodzenia exploitów, takich jak te znalezione w serii Radeon 7000 ^[3].
• Błędy wirtualizacji: Podatności takie jak CVE-2024-36312 obejmują złożone interakcje między maszynami wirtualnymi gościa a fizyczną pamięcią hosta ^[7]. Jeśli zauważysz błędy pamięci lub awarie hosta podczas uruchamiania maszyn wirtualnych, problem może być głębszy, niż jest to w stanie rozwiązać standardowa aktualizacja sterownika.
• Status EOL sprzętu: Jeśli Twój sprzęt jest oficjalnie sklasyfikowany jako End of Life (EOL), AMD odmówiło dostarczenia poprawek dla ryzyka bezpieczeństwa związanego z auto-aktualizacją ^[4]. W takich przypadkach poprawki programowe mogą nie istnieć, a dalsze korzystanie z urządzenia w niezabezpieczonej sieci może stanowić niekontrolowane ryzyko ^[11].

Ostrzeżenie: Ataki typu man-in-the-middle (MitM) na narzędzie AMD auto-updater zostały zgłoszone jako „poza zakresem” przez niektóre oficjalne kanały, co oznacza, że typowe aktualizacje oprogramowania mogą nie w pełni chronić przed tym konkretnym wektorem ^[11].

---

Ograniczenia samodzielnych napraw

Ważne jest, aby zrozumieć, że aktualizacja oprogramowania nie zawsze może zrekompensować fundamentalne wady konstrukcyjne sprzętu. Chociaż Adrenalin Edition 24.10.1 i ROCm wersja 6.4 rozwiązują liczne exploity dla produktów konsumenckich i centrów danych, nie zapewniają one „100% bezpiecznej” ochrony ^[2][5].

Analitycy branżowi sugerują, że w przypadku starszych systemów, dla których odmówiono wydania poprawek, jedynym sposobem na znaczące zminimalizowanie ryzyka jest przejście na wspierany sprzęt lub przejście na ręczne zarządzanie sterownikami, aby uniknąć niezabezpieczonych mechanizmów automatycznej aktualizacji ^[4][11]. Jeśli nie czujesz się pewnie przy aktualizacji BIOS-u lub korzystaniu z narzędzi do czyszczenia sterowników, skorzystanie z pomocy eksperta jest zazwyczaj bezpieczniejszą drogą niż ryzykowanie trwałej awarii systemu.

FAQ (Najczęściej zadawane pytania)

Które wersje oprogramowania i modele sprzętu AMD są dotknięte tymi zagrożeniami?

Krytyczna luka w oprogramowaniu AutoUpdate, ujawniona publicznie 6 lutego 2026 r., dotyczy użytkowników korzystających z wersji ADM od 4.1.0 do 4.3.3.ROF1 ^[11][15]. Jeśli chodzi o sprzęt graficzny, AMD potwierdziło, że nie zapewni poprawki dla CVE-2023-31306 dla kart z serii RX Vega i Radeon PRO VII ^[1]. Dodatkowo wiadomo, że serie Radeon 7000 i Radeon Pro W7000 są dotknięte luką CVE-2023-31322 ^[6].

Dlaczego AMD odmawia załatania podatności w niektórych starszych kartach graficznych?

W przypadku serii RX Vega i Radeon PRO VII AMD stwierdziło, że wdrożenie poprawki dla CVE-2023-31306 niosło ze sobą znaczne ryzyko regresji i niestabilności systemu ^[1]. Ponieważ poprawka mogłaby potencjalnie spowodować, że sprzęt stałby się zawodny lub zawieszałby się, producent zdecydował o niewydawaniu łaty dla tych konkretnych modeli ^[1].

Jakie są techniczne zagrożenia wynikające z pozostawienia tych luk bez poprawki?

Zagrożenia zależą od konkretnej luki. Na przykład CVE-2024-36312 (CVSS 8.8) pozwala maszynom wirtualnym gościa na uzyskanie dowolnego dostępu do odczytu/zapisu w fizycznej pamięci hosta ^[2]. Inny krytyczny problem, CVE-2023-31322 (CVSS 9.3), wiąże się z błędem „type confusion” w AMD Secure Processor (ASP), co może prowadzić do utraty poufności i integralności danych ^[6].

Czy są dostępne oficjalne aktualizacje dla innych produktów AMD?

Tak, wydano aktualizacje dla nowszych lub innych linii produktów. Oprogramowanie AMD Software: Adrenalin Edition 24.10.1 zostało wydane 26 listopada 2024 r., aby usunąć kilka exploitów sterowników GPU ^[5]. Dla sprzętu w centrach danych wymagana jest wersja ROCm 6.4 (wydana 11 kwietnia 2025 r.), aby złagodzić różne podatności wpływające na serię Instinct ^[4].

Jak użytkownicy mogą chronić swoje systemy przed ryzykiem związanym z AutoUpdate?

Ponieważ raporty wskazują, że AMD może nie naprawić krytycznej luki Zdalnego Wykonania Kodu (RCE) w oprogramowaniu AutoUpdate ^[3][15], użytkownicy mogą potrzebować rozważenia alternatywnych strategii zarządzania sterownikami. Często obejmuje to ręczne pobieranie sterowników z oficjalnej strony AMD i sprawdzanie, czy ich obecna wersja ADM mieści się w dotkniętym zakresie od 4.1.0 do 4.3.3.ROF1 ^[11]. Ogólnie zaleca się wyłączenie narzędzi do automatycznej aktualizacji, jeśli wiadomo, że zawierają one niezałatane luki bezpieczeństwa.

Podsumowanie / Kluczowe wnioski

• Dostępność poprawek: AMD wydało kilka krytycznych aktualizacji w celu usunięcia luk bezpieczeństwa, w tym ROCm wersja 6.4 dla produktów centrów danych ^[1] oraz AMD Software: Adrenalin Edition 24.10.1 dla konsumenckiego sprzętu Radeon ^[3].
• Podatności o wysokim stopniu dotkliwości: Znaczne zagrożenia, takie jak CVE-2023-31322 (CVSS 9.3) i CVE-2024-36312 (CVSS 8.8), mogą potencjalnie prowadzić do utraty integralności danych lub pozwolić maszynom wirtualnym gościa na dostęp do fizycznej pamięci hosta ^[2][5].
• Ryzyko starszego sprzętu: Wsparcie dla starszych produktów może się różnić, ponieważ AMD oświadczyło, że nie wyda poprawek dla niektórych błędów, takich jak CVE-2023-31306 w sprzęcie RX Vega i Radeon PRO VII, ze względu na wysokie ryzyko niestabilności systemu ^[6].
• Szeroki wpływ na produkty: Rozległe luki bezpieczeństwa, takie jak „Sinkclose”, wymagały poprawek na poziomie oprogramowania układowego zarówno w liniach produktów EPYC, jak i Ryzen, aby zapobiec głębokim infekcjom systemu ^[8].
• Niezweryfikowane raporty: Chociaż istnieje dokumentacja dotycząca potencjalnych zagrożeń w funkcjach auto-aktualizacji ^[11], oficjalne wykazy w niektórych krajowych podsumowaniach podatności mogą obecnie nie odzwierciedlać tych specyficznych problemów producenta ^[4].

Jeśli nie masz pewności, zazwyczaj taniej jest zapytać specjalistę raz, niż naprawiać błąd później.

Quellen

^[1] AMD: AMD Graphics Vulnerabilities – August 2025

^[2] Tom's Hardware: Security researcher says AMD auto-updater downloads software insecurely, enab...

^[3] WinBuzzer: AMD Won't Fix Critical RCE Vulnerability in its AutoUpdate Software

^[4] WIRED: ‘Sinkclose’ Flaw in Hundreds of Millions of AMD Chips Allows Deep, Virtually ...

^[5] PCWorld: Millions of AMD CPUs vulnerable to hacks, and some won’t get patched

^[6] The Verge: AMD ‘Zenbleed’ bug can be exploited to leak passwords from Ryzen CPUs

^[7] Framework Community: New AMD vulnerability (CVE-2024-56161) - Framework Laptop 13

^[8] heise online: CPU security leak Sinkclose: Firmware update also for AMD's Ryzen 3000

^[9] AMD Security & Technical Reporting: AMD Refuses to Patch Critical Security Risk in Auto-Update

^[10] Cisco Talos: Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM fram...

^[11] AMD: AMD Reports Fourth Quarter and Full Year 2025 Financial Results

^[12] Office of the Chair of the International AI Safety Report: 2026 International AI Safety Report Charts Rapid Changes and Emerging Risks

^[13] PR Newswire / InfoBase Publishers, Inc.: Bridging Uncertainty with Confidence: CrossSight Due Diligence Platform Now G...

^[14] PR Newswire: As Enterprise AI Use Deepens, New Research Highlights the Urgent Need for Dat...

^[15] PR Newswire: Gomboc.AI Redefines AI Code Security Assistants with Deterministic Fixes at S...

^[113] PDF Source Document: AMD Refuses to Patch Critical Security Risk in Auto-Update