AMD Otomatik Güncelleme Hatası: Kritik RCE Güvenlik Açığı Açıklandı

AMD'nin RCE'ye (Uzaktan Kod Çalıştırma) olanak tanıyan otomatik güncelleme açığı hakkında bilgi edinin. RX Vega gibi etkilenen donanımları ve sisteminizi nasıl güvenli hale getireceğinizi keşfedin.

---

Giriş: Bu Yazı Kimler İçin?

AMD yazılım güncelleme aracındaki kritik bir güvenlik açığı, birçok kullanıcı için yamalanmamış durumda kalmaya devam ediyor. Hangi sistemlerin potansiyel olarak etkilendiğini ve bunun cihazınızın güvenliği için ne anlama geldiğini öğrenin.

---

Sistemi güncel tutmak genellikle dijital tehditlere karşı ilk savunma hattıdır; ancak AMD otomatik güncelleme mekanizmasında yakın zamanda ortaya çıkan bir açık bu durumu tersine çevirdi. Raporlar, güvenlik yamalarını iletmek için tasarlanan aracın kendisinin aslında bir saldırı vektörü olarak hizmet edebileceğini gösteriyor ^[3][9]. AMD'nin bazı donanım serileri için bu güvenlik açığını yamalamayı reddettiği bildirildiğinden, birçok kullanıcı sistemlerinin belirli risklere kalıcı olarak maruz kaldığını görebilir ^[1][11].

Bu makale şu kişiler içindir:

• RX Vega ve Radeon PRO VII serileri dahil olmak üzere AMD Radeon grafik donanımı kullanıcıları ^[1].
• Yüksek öncelikli istismarlar konusunda endişe duyan Radeon 7000 ve Radeon Pro W7000 serisi kart sahipleri ^[8].
• AMD otomatik güncelleme yazılımını kullanan sistem yöneticileri ve güvenlik bilincine sahip bireyler ^[3][6].

Bu rehberde, Uzaktan Kod Çalıştırma (RCE) güvenlik açığının spesifik doğasını, belirli donanımların neden düzeltme almayacağını ve AMD'nin "kapsam dışı" güvenlik raporlarına ilişkin resmi tutumunu ele alacağız ^[10][11][14]. Bu kılavuz, manuel sürücü kurulum süreçlerini veya genel GPU performans sorunlarını kapsamaz.

Özet / Sizin İçin Ne Anlama Geliyor?

• Kritik Önem Seviyeleri: AMD donanımını etkileyen birden fazla güvenlik açığı, 8.8 ile 9.8 arasında değişen CVSS puanlarıyla yüksek risk derecelerine sahiptir ^{[2][10][11][14]}. Bu kusurlar, ana bilgisayarın fiziksel belleğine yetkisiz erişime izin verebilir veya sistem bütünlüğünün tamamen kaybolmasına yol açabilir ^[2][3].
• Seçici Yamalama: EPYC ve Ryzen ürün hatları için güvenlik önlemleri yayınlanmış olsa da ^[15], AMD resmi olarak RX Vega ve Radeon PRO VII donanımlarında CVE-2023-31306 için yüksek sistem kararsızlığı riskleri nedeniyle bir düzeltme yayınlamayacağını belirtmiştir ^[5].
• Gerekli Güncellemeler: Bilinen istismarları azaltmak için bireysel kullanıcılar AMD Software: Adrenalin Edition 24.10.1 veya daha yeni bir sürüme güncellenmelidir ^[4]; veri merkezi ortamları ise ROCm sürüm 6.4 veya üzerini gerektirir ^[1].
• Sanallaştırma Riskleri: CVE-2024-36312 (CVSS 8.8) gibi belirli güvenlik açıkları, konuk sanal makinelerin ana bilgisayar belleğine okuma ve yazma yapmasına izin verebileceğinden, bulut veya çok kiracılı ortamlar için özellikle tehlikelidir ^[2].
• Doğrulanmamış Tehditler: Sektör raporları, 2026'daki daha yeni güvenlik açıklarının şifreleme anahtarlarını çalmak için "tek tıkla" uzaktan kod çalıştırmaya (RCE) olanak tanıyabileceğini öne sürüyor; ancak bu iddialar şu an için resmi satıcı doğrulamasına sahip değildir ^[9].

Risk Notu: RX Vega serisi kartlar gibi eski nesil donanımları çalıştırmak, donanım gerilemelerini önlemek amacıyla bazı kritik güvenlik açıklarının yamalanmamış kalması nedeniyle doğal güvenlik riskleri içerebilir ^[5]. Kullanıcılar, potansiyel veri sızıntısı riskini mevcut sürücü ortamlarının kararlılığına karşı değerlendirmelidir.

Temel Kaynaklar (Hızlı Bağlantılar)

• AMD — AMD Grafik Güvenlik Açıkları – Ağustos 2025 ^[1]
• Tom's Hardware — Güvenlik araştırmacısı, AMD otomatik güncelleyicisinin yazılımı güvensiz indirdiğini söylüyor... ^[2]
• WinBuzzer — AMD, Otomatik Güncelleme Yazılımındaki Kritik RCE Açığını Düzeltmeyecek ^[3]

Arka Plan / Temel Bilgiler

AMD AutoUpdate yardımcı programı, AMD donanımı için sürücülerin kurulumunu ve güncellenmesini otomatik olarak yönetmek üzere tasarlanmış bir yazılım aracıdır ^[1][10]. 2017 civarında tanıtılan bu araç, yeni yazılım sürümlerini kontrol ederek ve bunları doğrudan kullanıcının bilgisayarına indirerek sistem bakımını basitleştirir ^[2][4]. AMD ekran kartı ve işlemci kullanan birçok kullanıcı için standart bir bileşendir ^[1][10].

Teknik denetimler, bu otomatik güncelleme mekanizmasını kritik bir güvenlik açığı için birincil vektör olarak tanımlamıştır ^[9][113]. Güvenlik açığı, yazılımın harici sunucularla nasıl iletişim kurduğuna ve aldığı dosyaları nasıl işlediğine odaklanmaktadır ^[3][5]. Uzmanlar, aracın tasarımının kullanıcıları verilerin ele geçirilmesinden korumak için gereken modern güvenlik protokollerinden yoksun olabileceğini öne sürüyor ^[7][10].

Güvenlik araştırmacıları tarafından bu araçla ilgili belirtilen iki ana teknik hata bulunmaktadır. İlk olarak, yazılımın güncellemeleri indirmek için güvenli HTTPS yerine şifrelenmemiş HTTP bağlantıları kullandığı bildirilmektedir ^[7][10]. İkinci olarak, yardımcı programın, bir dosyanın orijinal olduğunu ve üçüncü bir tarafça hasar görmediğini veya değiştirilmediğini onaylayan bir süreç olan kod imza doğrulamasını atladığı görülmektedir ^[3][5].

---

Riskleri Anlamak

Güvensiz bağlantıların ve doğrulama eksikliğinin birleşimi, Aradaki Adam (MitM) saldırıları için bir risk oluşturur ^[2][14]. Böyle bir senaryoda, bir saldırgan indirme sürecine müdahale edebilir ve yasal bir AMD sürücüsünü kötü amaçlı yazılımla değiştirebilir ^[14][15]. Güncelleyici genellikle yüksek düzeyde sistem izinleriyle çalıştığından, bu durum Uzaktan Kod Çalıştırma (RCE) işlemine yol açarak tüm bilgisayara yetkisiz erişim sağlayabilir ^[3][15].

Özellik	Bildirilen Durum	Potansiyel Güvenlik Etkisi
Bağlantı Türü	Şifrelenmemiş HTTP [7][10]	Trafik izlenebilir veya değiştirilebilir
Dosya Doğrulama	İmza doğrulaması yok [5]	Kötü amaçlı dosyalar "güvenilir" görünebilir
Yetki Seviyesi	Sistem Yetkileri [15]	Tam sistem ele geçirilme riski

Uyarı: Güvenlik araştırmacıları bu özel RCE açığını 27 Ocak 2026'da keşfetti ve 6 Şubat 2026'da kamuoyuna açıklandı ^[8][11]. Raporlar, AMD'nin bu tür müdahale saldırılarını mevcut güvenlik hata ödül programları için "kapsam dışı" olarak sınıflandırdığını göstermektedir ^[2][14].

Sorun Açıklaması (Neler Oluyor?)

Son raporlar, AMD otomatik güncelleyici mekanizmasının yazılım güncellemelerini güvensiz kanallar üzerinden indirdiğini gösteriyor ^[1]. Güvenlik araştırmacıları, bu kusurun Aradaki Adam (MiTM) saldırılarına olanak tanıyabileceğini, saldırganların bağlantıyı kesmesine ve kullanıcının sisteminde rastgele kod yürütmesine izin verebileceğini öne sürüyor ^[1]. Araştırmacılar bunu kritik bir güvenlik açığı olarak vurgularken, şirket temsilcilerinin MiTM saldırılarının güvenlik modelleri için "kapsam dışı" olduğunu belirttikleri bildirildi ^[1].

Bu durum, çeşitli AMD ürün hatlarını etkileyen birkaç yüksek öncelikli güvenlik açığıyla daha karmaşık hale geliyor. Bu kusurlar genellikle donanımın güvenlik işlemcileri içindeki hatalı giriş doğrulaması veya tür karmaşasını içerir ^[6][7]. Pratik etki, yetkisiz veri erişiminden tam sistem ele geçirilmesine kadar uzanmaktadır ^[2][12].

Mevcut Güvenlik Açığı Manzarası

Aşağıdaki tablo, son teknik analizlerde tanımlanan temel güvenlik açıklarını özetlemektedir:

CVE Tanımlayıcı	CVSS Puanı	Birincil Etki	Etkilenen Ürünler
CVE-2023-31322	9.3 [7]	Gizlilik/bütünlük kaybı	Radeon 7000 & Pro W7000 [7]
CVE-2024-36312	8.8 [3]	Ana belleğe rastgele okuma/yazma	VCN-JPEG HW alanı [3]
CVE-2026-25253	8.8 [13]	Potansiyel "tek tıkla" RCE	Çeşitli (Doğrulanmamış) [2]
CVE-2026-24936	Yok	Yetkisiz veri yazma	ADM 5.0.0 - 5.1.1.RCI1 [11][12]

---

Erişim ve Potansiyel Etki

Bu güvenlik risklerinin kapsamı oldukça geniştir ve dünya çapında milyonlarca cihazı etkileme potansiyeline sahiptir ^[1]. Sektör analistleri, 2006 yılına kadar üretilen AMD işlemcilerinin belirli istismarlara karşı savunmasız olabileceğini tahmin ediyor ^[15]. Doğrulanmamış olay raporları, bu güvenlik açıklarının aktif olarak kullanılması durumunda milyonlarca makinenin kısa süreler içinde ele geçirilebileceğini öne sürmüştür ^[8].

Bireysel tüketici donanımlarının ötesinde, bu kusurlar veri merkezi ve sanallaştırılmış ortamları da etkilemektedir. Örneğin, CVE-2024-36312, konuk sanal makinelerin güvenlik sınırlarını aşmasına ve ana sistemin fiziksel belleğine okuma/yazma erişimi kazanmasına olanak tanır ^[3]. Amazon gibi büyük hizmet sağlayıcılar, güvenli operasyonları bozma potansiyelleri nedeniyle bu riskleri "Önemli" olarak sınıflandırmıştır ^[10].

Üretici Yanıtındaki Sınırlamalar

Şu anda sunulan hafifletme önlemlerinin net sınırları vardır. AMD, RX Vega ve Radeon PRO VII donanımlarında CVE-2023-31306 için bir düzeltme yayınlamayacağını belirtmiştir ^[14]. Şirket, bu spesifik modelleri yamalamaya çalışmanın yüksek sistem kararsızlığı ve performans gerilemesi riski taşıdığını ifade etmiştir ^[14].

Ayrıca, 2024 sonu ve 2025 başında bazı önlemler yayınlanmış olsa da, bunlar kullanıcıların Adrenalin Edition 24.10.1 veya ROCm 6.4 gibi belirli yazılım sürümlerine manuel olarak güncellenmesini gerektirir ^[4][5]. Bu durum, temel indirme mekanizması güvensiz kalmaya devam ederse, otomatik güncelleme aracına güvenen kullanıcıları potansiyel olarak savunmasız bir durumda bırakmaktadır ^[1].

Kök Nedenler / Analiz (Neden Bu Oluyor?)

Bu güvenlik açıklarının kök nedenlerini analiz etmek, hem donanım sınırlamalarına hem de yazılım doğrulama süreçlerine bakmayı gerektirir. Güvenlik araştırmacıları ve resmi raporlar, bu risklerin kalıcılığının genellikle mimari tasarım ve modern sürücü güncellemelerinin teknik karmaşıklığının birleşiminden kaynaklandığını öne sürüyor.

---

Onaylanmış Teknik Faktörler

Aşağıdaki faktörler, üreticilerin ve güvenlik veri tabanlarının resmi belgeleri ve olay raporları aracılığıyla doğrulanmıştır:

• Sistem Gerileme Riski: Belirli durumlarda üreticiler, bilinen bir güvenlik açığı için bir önlem yayınlamamayı seçebilirler. Örneğin AMD, yamanın önemli bir sistem kararsızlığı ve performans gerilemesi riski taşıması nedeniyle RX Vega ve Radeon PRO VII donanımlarında CVE-2023-31306 için bir düzeltme yayınlamayacağını belirtmiştir ^[3].
• Hatalı Giriş Doğrulaması: Birkaç güvenlik açığı CWE-20 (Hatalı Giriş Doğrulaması) olarak kategorize edilmiştir ^[13]. Bu durum, yazılımın verileri işlemeden önce düzgün bir şekilde doğrulamaması durumunda ortaya çıkar ve kötü niyetli aktörlerin güvenlik kontrollerini atlamasına olanak tanıyabilir. ADM 4.1.0 ile 4.3.3.ROF1 arasındaki yazılım sürümleri, bu doğrulama hatalarından etkilenenler olarak özel olarak tanımlanmıştır ^[9].
• Güvenli İşlemci Güvenlik Açıkları: Kritik kusurlar AMD Güvenli İşlemci (ASP) biriminden kaynaklanabilir. Örneğin, 9.3'lük bir CVSS 4.0 puanına sahip olan CVE-2023-31322, Radeon 7000 ve Pro W7000 serisi kartları etkileyen ASP içindeki tür karmaşasından kaynaklanmıştır ^[7].
• Donanım Bellek Kontrol Kusurları: CVE-2024-36312 (CVSS 8.8) gibi güvenlik açıkları, VCN-JPEG donanım bellek alanı kontrol kaydının nasıl yönetildiğinden dolayı mevcuttur ^[5]. Bu, konuk sanal makinelerin ana bilgisayarın fiziksel belleğine yetkisiz okuma/yazma erişimi kazanmasına potansiyel olarak izin verir ^[5].

---

Hipotezler ve Sektör Analizi

Her olay için tüm nedenler resmi olarak doğrulanmamış olsa da, sektör analistleri ve doğrulanmamış raporlar birkaç olası etkene işaret etmektedir:

• Güvenliği İhlal Edilmiş Güncelleme Altyapısı: Söylentiler, bilgisayar korsanlarının yazılım satıcıları tarafından kullanılan paylaşımlı barındırma sağlayıcılarındaki güvenlik açıklarından yararlanarak yazılım güncellemelerine erişim sağlayabileceğini öne sürüyor ^[10]. Bazı sağlayıcılar sunucu ihlallerini doğrulamış olsa da, spesifik giriş yöntemleri genellikle doğrulanmamış olarak kalmaktadır ^[10].
• Hızlı İstismar Döngüleri: CVE-2024-YIKES olayından elde edilen doğrulanmamış veriler, aktif bir istismar penceresi sırasında tahmini 4,2 milyon makinenin 73 saat gibi kısa bir sürede ele geçirilebileceğini göstermektedir ^[11][14]. Bu, modern saldırıların hızının, sürücü güncellemelerinin standart test ve yayın döngüsünü geride bırakabileceğini göstermektedir.
• Tek Tıkla İstismar Potansiyeli: CVE-2026-25253 üzerindeki harici analizler, bazı güvenlik açıklarının "tek tıkla RCE" (Uzaktan Kod Çalıştırma) işlemine izin verebileceğini ve potansiyel olarak şifreleme anahtarlarının ve hassas verilerin çalınmasını sağlayabileceğini öne sürüyor ^[15]. Bu, doğrulanmamış bir risk olarak kalmaktadır ancak yamalanmamış güncelleme mekanizmalarının potansiyel ciddiyetini vurgulamaktadır.

---

Güvenlik Açığı Manzarası Özeti

Güvenlik Açığı	Durum	Temel Neden
CVE-2023-31306	Yamalanmayacak (Eski)	Gerileme/Kararsızlık Riski [3]
CVE-2024-36312	Önlem Yayınlandı	Bellek Kaydı Kontrolü [5]
CVE-2026-24936	Onaylandı	Hatalı Giriş Doğrulaması [13]
CVE-2024-YIKES	Olay Bildirildi	Altyapı Hatası (Doğrulanmamış) [1][14]

Resmi hafifletme yol haritaları, Instinct serisi gibi profesyonel veri merkezi ürünlerindeki güvenlik açıklarını gidermek için Nisan 2025'te yayınlanan ROCm sürüm 6.4 gibi belirli yazılım sürümlerinin gerekli olduğunu göstermektedir ^[2]. Tüketici ürünleri için, çeşitli sürücü istismarlarını gidermek amacıyla geçmişte AMD Software: Adrenalin Edition 24.10.1 gibi güncellemeler yayınlanmıştır ^[4].

Kanıtlar ve Gerçeklik Kontrolü

Resmi belgeler ve bağımsız güvenlik araştırmaları, AMD ekosistemi içinde ele alınan ve alınmayan güvenlik açıklarından oluşan karmaşık bir tabloyu doğrulamaktadır. Üretici, yüksek öncelikli riskleri azaltmak için sık sık güncellemeler yayınlasa da, belirli mimari sorunlar ve eski donanım sınırlamaları kalıcı güvenlik açıklarına neden olmuştur.

Resmi güvenlik bültenlerinden alınan veriler, birkaç kritik güvenlik açığını ve bunların ilgili çözüm yollarını vurgulamaktadır:

Güvenlik Açığı	CVSS Puanı	Etkilenen Donanım	Durum
CVE-2023-31322	9.3	Radeon 7000 / Pro W7000	Güvenli İşlemci (ASP) güncellemeleriyle giderildi [8].
CVE-2024-36312	8.8	VCN-JPEG HW	Konuk VM'lerin ana bilgisayar belleğine erişmesine izin verir [3].
CVE-2023-31306	Yok	RX Vega / Radeon PRO VII	Kararsızlık riskleri nedeniyle yama planlanmadı [4].

Resmi raporlar, çeşitli tüketici sürücü istismarlarını gidermek için AMD Software: Adrenalin Edition 24.10.1'in 26 Kasım 2024'te yayınlandığını doğrulamaktadır ^[2]. Veri merkezi ortamları için, Instinct serisi grafik ürünlerini bilinen güvenlik açıklarına karşı korumak amacıyla 11 Nisan 2025'te yayınlanan ROCm sürüm 6.4 gereklidir ^[1].

Bağımsız araştırmacılar özellikle AMD otomatik güncelleyicisinin güvenliğine odaklanmıştır. Gözlemler, güncelleyicinin birincil güncelleme listesini (Devlpment bağlantısı) şifreli bir HTTPS bağlantısı üzerinden aldığını göstermektedir ^[11]. Ancak raporlar, bir şirket temsilcisinin aradaki adam (MitM) saldırılarını "kapsam dışı" olarak kategorize etmiş olabileceğini ve bu durumun güncelleme sürecinin güvensiz bir şekilde yönetilmeye devam ettiği iddialarına yol açtığını öne sürmektedir ^[7][11].

Doğrulanmamış raporlar ve teknik söylentiler, güvenilirlikleri değişmekle birlikte önemli bir etki potansiyeline işaret etmektedir:

• Söylentiler, otomatik güncelleme açığının mevcut pazar payına bağlı olarak dünya çapında milyonlarca cihazı potansiyel olarak etkileyebileceğini öne sürüyor ^[7].
• CVE-2026-25253'ün (doğrulanmamış) harici analizi, veri ve şifreleme anahtarlarını çalmak için "tek tıkla RCE"ye izin verebileceğini öne sürüyor ^[13].
• CVE-2026-24936, yazılımın harici verileri nasıl işlediğindeki zayıflıkları gösteren CWE-20 (Hatalı Giriş Doğrulaması) olarak kategorize edilmiştir ^[14].
• CVE-2024-YIKES gibi bazı olay raporları milyonlarca ihlal iddiasında bulunmaktadır ancak bunlar şu anda kurgusal veya hicivsel bir anlatının parçası olarak kabul edilmekte ve resmi doğrulamadan yoksundur ^[5][9].

Özellikle, 5 Ocak 2026 haftası itibarıyla AMD, resmi CISA bültenlerinde onaylanmış otomatik güncelleme açıklarına sahip bir satıcı olarak listelenmemiştir ^[10]. Bu durum, araştırmacı iddiaları ile resmi hükümet düzeyindeki güvenlik açığı takibi arasında bir tutarsızlık olduğunu göstermektedir. Sektör analistleri, MitM saldırıları için teknik vektörler mevcut olsa da, böyle bir istismarın pratik uygulamasının belirli ağ koşulları gerektirdiğini öne sürmektedir.

Kendi Kendine Kontrol / Teşhis

Bir sistemin bu spesifik AMD güvenlik risklerine karşı savunmasız olup olmadığını belirlemek; donanım modellerinin, sürücü sürümlerinin ve spesifik yazılım yapılandırmalarının doğrulanmasını içerir.

Mevcut risk seviyenizi teşhis etmek için şu adımları izleyin:

1. Grafik Donanımınızı Tanımlayın

Belirli güvenlik açıkları belirli donanım nesillerine bağlıdır. Modelinizi Windows Aygıt Yöneticisi'nde Görüntü Bağdaştırıcıları altında kontrol edebilir veya AMD Software: Adrenalin Edition panelini kullanabilirsiniz.

• Yüksek Riskli Seri: Radeon 7000 ve Radeon Pro W7000 serisi kart sahipleri, yüksek öncelikli bir tür karmaşası açığı olan CVE-2023-31322'den etkilenmektedir ^[2].
• Yama Desteği Biten Seri: RX Vega veya Radeon PRO VII donanımına sahip kullanıcılar, CVE-2023-31306'nın kararlılık riskleri nedeniyle bu ürünler için giderilmeyeceğinin farkında olmalıdır ^[3].
• Veri Merkezi Serisi: Belirli ROCm gereksinimleri için Instinct serisi ürünlerin tanımlandığından emin olun ^[1].

2. Sürücü ve Yazılım Sürümlerinizi Doğrulayın

Sürücünüzün sürümü, en son güvenlik önlemlerini alıp almadığınızı belirler.

Yazılım/Sürücü	Önlem İçin Gerekli Sürüm	Yayınlanma Tarihi
AMD Software: Adrenalin Edition	24.10.1 veya üzeri [7]	26 Kasım 2024
ROCm (Instinct Serisi)	6.4 veya üzeri [1]	11 Nisan 2025
ASUSTOR Data Master (ADM)	5.1.1.RCI1'den yüksek [5]	Çeşitli

---

3. Otomatik Güncelleyici Kullanımınızı Denetleyin

Güvenlik araştırmacılarından gelen raporlar, AMD otomatik güncelleyicisinin yazılımı güvensiz bir şekilde indirebileceğini ve potansiyel olarak aradaki adam (MitM) saldırılarına olanak tanıyabileceğini öne sürüyor ^[8]. Bu riski değerlendirmek için:

• Yazılım ayarlarınızda "AMD Yazılımını her zaman güncel tut" seçeneğinin etkin olup olmadığını kontrol edin.
• Doğrulanmamış raporların, bu güvenlik açığının dünya çapında milyonlarca cihazı potansiyel olarak etkileyebileceğini öne sürdüğünü unutmayın ^[8].

4. Yönetim Yazılımı Çakışmalarını Kontrol Edin

AMD sürücüleriyle birlikte kullanılan üçüncü taraf araçlar bazen yazılımınızın durumunu gizleyebilir veya performans profillerinin başarısız olmasına neden olabilir. MSI Afterburner ve RivaTuner'ın bazen AMD Adrenalin profil oluşturma özellikleriyle çakıştığı bilinmektedir ^[14]. Doğru verileri garanti etmek için sürüm kontrolü yaparken bu araçların devre dışı bırakıldığından emin olun.

5. Sistem İzinlerini Değerlendirin

Günlük kullanıcı hesabınızın yönetici veya çekirdek düzeyinde (kernel-level) erişimle çalışıp çalışmadığını belirleyin. "Sinkclose" açığı da dahil olmak üzere birçok kritik kusur, başarılı bir istismar için genellikle çekirdek düzeyinde erişim gerektirir ^[11]. Sistem ortamınız bu izinleri kısıtlıyorsa, istismar edilme riski azalabilir.

6. NAS Donanım Yazılımını İnceleyin (Varsa)

AMD tabanlı ağa bağlı depolama (NAS) cihazları kullanıyorsanız, özellikle ASUSTOR Data Master (ADM) çalıştıranlarda, ayarlar menüsünden sürümünüzü kontrol edin. Etkilenen sürümler arasında ADM 4.1.0 - 4.3.3.ROF1 ve 5.0.0 - 5.1.1.RCI1 bulunmaktadır ^[5][10].

Çözümler / Ne Yapmalı?

Donanım ve yazılım ortamlarındaki güvenlik risklerini ele almak, özellikle eski ürünler için resmi destek kesildiğinde yapılandırılmış bir yaklaşım gerektirir. AMD, eski nesil veya Ömür Sonu (EOL) yazılım sürümlerindeki belirli güvenlik açıklarını yamalamayı reddettiği için ^[12], kullanıcılar donanımlarının güncellemeler için uygun olup olmadığını veya değiştirilmesinin gerekip gerekmediğini belirlemelidir.

Kısa Vadeli Önlemler: Hemen Güncelleme

Bilinen güvenlik açıklarını azaltmanın ilk adımı, mevcut en son yazılım ve donanım yazılımı (firmware) yamalarını uygulamaktır. Bazı eski bileşenler düzeltme almayacak olsa da, birçok aktif ürün hattı kritik güncellemeler almıştır.

• GPU Sürücülerini Güncelleyin: Tüketici Radeon ürünleri için AMD Software: Adrenalin Edition'ın 24.10.1 veya daha yeni bir sürüme güncellendiğinden emin olun ^[3]. Bu sürüm, özellikle 2024 sonlarında tanımlanan çeşitli sürücü istismarlarını ele almaktadır ^[3].
• Veri Merkezi Yazılımını Güncelleyin: Instinct serisi hızlandırıcıları kullanan sistemler, veri merkezine özgü birkaç grafik güvenlik açığını azaltmak için 11 Nisan 2025'te yayınlanan ROCm sürüm 6.4'ü gerektirir ^[1].
• CPU Önlemlerini Uygulayın: Ryzen 3000 serisi ve daha yeni işlemci sahipleri, mevcut güvenlik önlemlerini kontrol etmelidir ^[10]. Resmi güvenlik bültenleri, Sinkclose açığını gidermek için çoğu EPYC ve Ryzen ürün hattı için yamaların yayınlandığını göstermektedir ^[9].
• İşletim Sistemi Düzeyinde Yamalar: Amazon Linux 2 gibi özel platformlardaki kullanıcılar için, pakete özgü belirli sorunları çözmek amacıyla kernel-4.14.355-280.713.amzn2 sürümüne güncelleme yapılması gereklidir ^[11].

Uzun Vadeli Stratejiler: Donanım ve Yaşam Döngüsü Yönetimi

Bir üretici bir güvenlik açığını tanımladığında ancak sistem kararsızlığı riski nedeniyle yamalamayı reddettiğinde, kullanıcılar için genellikle tek kesin çözüm donanım değişimidir.

Donanım Serisi	Güvenlik Açığı Durumu	Önerilen Eylem
Radeon 7000	CVE-2023-31322 için önlemler mevcut [5].	En son Adrenalin sürücüsüne güncelleyin [3].
RX Vega / Radeon PRO VII	CVE-2023-31306 için yama planlanmadı [2].	Yüksek güvenlikli ortamlar için donanım değişimini düşünün [12].
Eski / EOL Yazılımlar	Daha fazla güvenlik yaması beklenmiyor [12].	Şu anda desteklenen donanım/yazılım sürümlerine yükseltin [12].

RX Vega ve Radeon PRO VII serisi gibi yama almayacak donanımlar için araştırmacılar, sorunları düzeltmenin önemli bir gerileme ve kararsızlık riski oluşturacağını öne sürüyor ^[2]. Bu durumlarda analistler genellikle aktif güvenlik desteği alan daha yeni donanım mimarilerine geçilmesini önermektedir.

---

Derin Enfeksiyonlar İçin Gelişmiş Önlemler

Bir sistemin Sinkclose gibi üst düzey kusurlar tarafından ele geçirildiğinden şüphelenilen senaryolarda, standart yazılım tabanlı dezenfeksiyon veya işletim sistemini yeniden kurmak yetersiz kalabilir ^[14].

Uyarı: Derin yerleşik donanım yazılımı (firmware) enfeksiyonlarını gidermek, özel donanım araçları gerektirebilir.

Kanıtlar, bir Sinkclose enfeksiyonunu temizlemenin, donanım yazılımını manuel olarak yeniden yazmak için bir SPI Flash programlayıcı donanım aracı gerektirebileceğini göstermektedir ^[14]. Bu genellikle ileri düzey bir prosedür olarak kabul edilir ve yanlış yapılması durumunda donanımı kalıcı olarak devre dışı bırakma riski taşır.

Riskler ve Sınırlamalar

Yukarıdaki adımlar riskleri önemli ölçüde en aza indirse de, tüm potansiyel istismarlara karşı garanti sağlamazlar. Kullanıcılar aşağıdaki sınırlamaların farkında olmalıdır:

• Performans Etkisi: Eski mimarilere güvenlik yamaları uygulamak bazen performansın düşmesine veya sistem kararsızlığına yol açabilir ^[2].
• Manuel Geçici Çözüm Yok: vProxy gibi bazı üçüncü taraf bileşenlerde bulunan belirli güvenlik açıkları için resmi güncellemeler dışında şu anda manuel bir geçici çözüm veya düzeltici eylem bulunmamaktadır ^[4].
• Donanım Güvenlik Açığı: Donanım fiziksel olarak güvenli önyüklemeyi veya yamalanmış bir komut setini destekleyemiyorsa, yazılım güncellemeleri yalnızca kısmi koruma sağlayabilir.

Riskler, Sınırlar ve Ne Zaman Durmalı?

Bir sistemi donanım düzeyindeki güvenlik açıklarına karşı korumaya çalışmak, sistem güvenliği ile operasyonel kararlılık arasında doğal ödünleşimler içerir. Bu sınırların nerede olduğunu anlamak, işlevsel bir iş istasyonu veya oyun bilgisayarı sürdürmek için esastır.

Kararlılık ve Güvenlik Riskleri Karşılaştırması

Güvenlik önlemlerini uygularken karşılaşılan birincil risklerden biri, potansiyel sistem kararsızlığı veya performans gerilemeleridir. AMD, RX Vega ve Radeon PRO VII serisi gibi belirli eski donanımlar için CVE-2023-31306 gibi spesifik güvenlik açıklarını düzeltmenin yazılım gerilemelerine neden olma riskinin çok yüksek olduğunu açıkça belirtmiştir ^[1]. Bu durumlarda üretici, bilinen güvenlik açıklarını yamalamak yerine kararlı bir kullanıcı deneyimine öncelik verebilir ^[1][4].

Ek olarak, bazı güvenlik açıkları yüksek önem puanlarına sahip olsa da —örneğin CVE-2023-31322 için CVSS 9.3 derecesi— istismar edilmesi genellikle önemli ön koşullar gerektirir ^[3]. Bu kusurların çoğu, yürütülmek için çekirdek düzeyinde erişim veya yerel yönetici (Ring 0) ayrıcalıkları gerektirir ^[10][13]. Bu, risk ciddi olsa da, yerel yazılım kurulumları üzerinde sıkı kontrol sağlayan kullanıcılar için bir saldırı olasılığının daha düşük olabileceği anlamına gelir.

---

Ne Zaman Durmalı ve Profesyonel Yardım Almalı?

Sürücü dosyalarına veya kayıt defteri ayarlarına manuel müdahale, işletim sisteminin "çökmesine" veya veri kaybına neden olabilir. Aşağıdaki senaryolarla karşılaşırsanız kendi başınıza yaptığınız çalışmaları durdurmalı ve profesyonel bir teknisyene danışmalısınız:

• Sürekli Önyükleme Hataları: Radeon 7000 serisinde bulunanlar gibi istismarları azaltmak için manuel sürücü kurulumu veya BIOS güncellemesi denedikten sonra sisteminiz açılmıyorsa ^[3].
• Sanallaştırma Hataları: CVE-2024-36312 gibi güvenlik açıkları, konuk VM'ler ile ana bilgisayar fiziksel belleği arasındaki karmaşık etkileşimleri içerir ^[7]. Sanal makineleri çalıştırırken bellek hataları veya ana bilgisayar çökmeleri fark ederseniz, sorun standart bir sürücü güncellemesinin çözebileceğinden daha derin olabilir.
• Donanım EOL Durumu: Donanımınız resmi olarak Ömür Sonu (EOL) olarak sınıflandırılmışsa, AMD otomatik güncelleme güvenlik riski için yama sağlamayı reddetmiştir ^[4]. Bu durumlarda, yalnızca yazılım tabanlı düzeltmeler mevcut olmayabilir ve cihazı güvensiz bir ağda kullanmaya devam etmek giderilmemiş bir risk oluşturabilir ^[11].

Uyarı: AMD otomatik güncelleyicisine yönelik aradaki adam (MitM) saldırıları bazı resmi kanallar tarafından "kapsam dışı" olarak bildirilmiştir; bu da tipik yazılım güncellemelerinin bu spesifik vektöre karşı tam koruma sağlamayabileceği anlamına gelir ^[11].

---

Kendi Başına Yapılan Düzeltmelerin Sınırlamaları

Bir yazılım güncellemesinin temel donanım tasarım kusurlarını her zaman telafi edemeyeceğini kabul etmek önemlidir. Adrenalin Edition 24.10.1 ve ROCm sürüm 6.4, tüketici ve veri merkezi ürünleri için çok sayıda istismarı ele alsa da, "%100 güvenli" koruma sağlamazlar ^[2][5].

Sektör analistleri, yamaların reddedildiği eski sistemler için riskleri önemli ölçüde en aza indirmenin tek yolunun, desteklenen donanıma yükseltmek veya güvensiz otomatik güncelleme mekanizmalarından kaçınmak için manuel sürücü yönetimine geçmek olduğunu öne sürüyor ^[4][11]. BIOS flaşlama veya manuel sürücü temizleme araçlarını kullanma konusunda kendinizi rahat hissetmiyorsanız, uzman yardımı almak genellikle kalıcı bir sistem arızası riskinden daha güvenli bir yoldur.

SSS

Hangi AMD yazılım sürümleri ve donanım modelleri bu risklerden etkileniyor?

6 Şubat 2026'da kamuoyuna açıklanan AutoUpdate yazılımındaki kritik güvenlik açığı, 4.1.0 ile 4.3.3.ROF1 arasındaki ADM sürümlerini kullanan kullanıcıları etkilemektedir ^[11][15]. Grafik donanımıyla ilgili olarak AMD, RX Vega ve Radeon PRO VII serisi kartlarda CVE-2023-31306 için bir önlem sağlamayacağını onaylamıştır ^[1]. Ayrıca, Radeon 7000 ve Radeon Pro W7000 serisinin CVE-2023-31322'den etkilendiği bilinmektedir ^[6].

AMD neden belirli eski ekran kartları için güvenlik açıklarını yamalamayı reddediyor?

RX Vega ve Radeon PRO VII serisi için AMD, CVE-2023-31306 için bir düzeltme uygulamanın önemli bir gerileme ve sistem kararsızlığı riski oluşturduğunu belirtti ^[1]. Bir hafifletme önlemi potansiyel olarak donanımın güvenilmez hale gelmesine veya çökmesine neden olabileceğinden, üretici bu spesifik modeller için bir yama yayınlamamaya karar verdi ^[1].

Bu güvenlik açıklarını yamalamadan bırakmanın teknik riskleri nelerdir?

Riskler spesifik güvenlik açığına bağlıdır. Örneğin, CVE-2024-36312 (CVSS 8.8), konuk sanal makinelerin ana bilgisayarın fiziksel belleğine rastgele okuma/yazma erişimi kazanmasına izin verir ^[2]. Diğer bir kritik sorun olan CVE-2023-31322 (CVSS 9.3), AMD Güvenli İşlemci (ASP) birimindeki tür karmaşasını içerir ve bu da veri gizliliği ve bütünlüğü kaybına yol açabilir ^[6].

Diğer AMD ürünleri için resmi güncellemeler mevcut mu?

Evet, daha yeni veya farklı ürün hatları için güncellemeler yayınlandı. AMD Software: Adrenalin Edition 24.10.1, birkaç GPU sürücü istismarını gidermek için 26 Kasım 2024'te yayınlandı ^[5]. Veri merkezi donanımları için, Instinct serisini etkileyen çeşitli güvenlik açıklarını azaltmak amacıyla ROCm sürüm 6.4 (11 Nisan 2025'te yayınlandı) gereklidir ^[4].

Kullanıcılar sistemlerini AutoUpdate güvenlik riskinden nasıl koruyabilir?

Raporlar AMD'nin AutoUpdate yazılımındaki kritik Uzaktan Kod Çalıştırma (RCE) açığını düzeltmeyebileceğini gösterdiğinden ^[3][15], kullanıcıların alternatif sürücü yönetimi stratejilerini düşünmesi gerekebilir. Bu genellikle sürücüleri resmi AMD web sitesinden manuel olarak indirmeyi ve mevcut ADM sürümlerinin 4.1.0 ile 4.3.3.ROF1 arasındaki etkilenen aralıkta olup olmadığını doğrulamayı içerir ^[11]. Yamalanmamış güvenlik açıkları içerdiği biliniyorsa, otomatik güncelleme araçlarını devre dışı bırakmak genellikle tavsiye edilir.

Özet / Temel Çıkarımlar

• Yama Kullanılabilirliği: AMD, veri merkezi ürünleri için ROCm sürüm 6.4 ^[1] ve tüketici Radeon donanımları için AMD Software: Adrenalin Edition 24.10.1 ^[3] dahil olmak üzere güvenlik açıklarını gidermek için birkaç kritik güncelleme yayınladı.
• Yüksek Öncelikli Güvenlik Açıkları: CVE-2023-31322 (CVSS 9.3) ve CVE-2024-36312 (CVSS 8.8) gibi önemli riskler, potansiyel olarak veri bütünlüğü kaybına yol açabilir veya konuk VM'lerin ana bilgisayar fiziksel belleğine erişmesine izin verebilir ^[2][5].
• Eski Donanım Riskleri: AMD, yüksek sistem kararsızlığı riski nedeniyle RX Vega ve Radeon PRO VII donanımlarında CVE-2023-31306 gibi belirli kusurlar için önlem yayınlamayacağını belirttiğinden, eski ürünler için destek değişiklik gösterebilir ^[6].
• Geniş Ürün Etkisi: "Sinkclose" gibi geniş kapsamlı güvenlik kusurları, derin sistem enfeksiyonlarını önlemek için hem EPYC hem de Ryzen ürün hatlarında donanım yazılımı düzeyinde önlemler gerektirmiştir ^[8].
• Doğrulanmamış Raporlar: Otomatik güncelleme özelliklerindeki potansiyel güvenlik risklerine ilişkin belgeler mevcut olsa da ^[11], belirli ulusal güvenlik açığı özetlerindeki resmi listeler şu anda bu spesifik satıcı sorunlarını yansıtmayabilir ^[4].

Emin değilseniz, bir hatayı daha sonra düzeltmektense bir uzmana bir kez sormak genellikle daha ucuzdur.

Quellen

^[1] AMD: AMD Graphics Vulnerabilities – August 2025

^[2] Tom's Hardware: Security researcher says AMD auto-updater downloads software insecurely, enab...

^[3] WinBuzzer: AMD Won't Fix Critical RCE Vulnerability in its AutoUpdate Software

^[4] WIRED: ‘Sinkclose’ Flaw in Hundreds of Millions of AMD Chips Allows Deep, Virtually ...

^[5] PCWorld: Millions of AMD CPUs vulnerable to hacks, and some won’t get patched

^[6] The Verge: AMD ‘Zenbleed’ bug can be exploited to leak passwords from Ryzen CPUs

^[7] Framework Community: New AMD vulnerability (CVE-2024-56161) - Framework Laptop 13

^[8] heise online: CPU security leak Sinkclose: Firmware update also for AMD's Ryzen 3000

^[9] AMD Security & Technical Reporting: AMD Refuses to Patch Critical Security Risk in Auto-Update

^[10] Cisco Talos: Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM fram...

^[11] AMD: AMD Reports Fourth Quarter and Full Year 2025 Financial Results

^[12] Office of the Chair of the International AI Safety Report: 2026 International AI Safety Report Charts Rapid Changes and Emerging Risks

^[13] PR Newswire / InfoBase Publishers, Inc.: Bridging Uncertainty with Confidence: CrossSight Due Diligence Platform Now G...

^[14] PR Newswire: As Enterprise AI Use Deepens, New Research Highlights the Urgent Need for Dat...

^[15] PR Newswire: Gomboc.AI Redefines AI Code Security Assistants with Deterministic Fixes at S...

^[113] PDF Source Document: AMD Refuses to Patch Critical Security Risk in Auto-Update