Tavis Ormandy, a Google Information Security szakembere nyilvánosságra hozta a Zenbleed (CVE-2023-20593) névre keresztelt, közepesen súlyos besorolású sebezhetőséget, amely a Zen 2 processzorarchitektúrát érinti, így lényegében a Zen 2 magokat használó termékeken használható ki.

A működést tekintve arról van szó, hogy létezik egy vzeroupper nevű utasítás, amelynek a célja, hogy a sebezhetőség által érintett regisztereket nullának jelölje, így más folyamat számára használhatóvá tegyék az erőforrást. Ugyanakkor ez spekulatív végrehajtás mellett is működik. Amennyiben a processzormag rájön, hogy vzeroupper utasítás végrehajtása nem volt jó lépés, akkor a döntést olyan módon teszi semmissé, hogy a nullázást jelző bitet visszaállítja, amivel a regiszterek eredeti tartalma olvashatóvá válik, viszont ezt már egy másik folyamat éri el, ami így képes adatokat kinyerni belőlük. Ezzel a módszerrel egy Zen 2 magból másodpercenként 30 kB-nyi információt is kilopható, ami nem hangzik soknak, de arra bőven elég, hogy a megosztott szerverközparkokban akár kémkedni is lehessen.

Az AMD a második generációs EPYC termékcsaládhoz már biztosította a szükséges, 0x0830107A jelzésű mikrokódot a RomePI 1.0.0.H AGESA verzión belül, így a javítás már elérhető a legfrissebb BIOS-okban, míg a Zen 2 magokat használó asztali és mobil Ryzenekhez az év utolsó három hónapjában jönnek frissítések. A sebezhetőséget felfedező Tavis Ormandy szerint egy adott szoftvert is fel lehet készíteni direkten a probléma kivédésére. Ha tehát valamiért nem lehetséges az új mikrokód használata, akkor az alkalmazás oldalán is van megoldás. Ez egyébként bizonyos mértékű teljesítményveszteséggel járhat.