VU#282450: TCG TPM2.0 ノート

VU#282450: TCG TPM2.0

Trusted Platform Module(TPM)2.0 リファレンスライブラリ仕様に脆弱性が同TPMコマンドインターフェースにアクセス可能な攻撃者によって悪用される可能性があります。攻撃者は、特別に作成されたコマンドを送信し、機密データへの不正アクセスやTPMのサービス拒否につながる可能性があります。TPM テクノロジーは、モダン・コンピューティング・プラットフォーム上のオペレーティング・システムに安全な暗号機能を提供します。Trusted Computing Group(TCG)は、TPM仕様を維持し、ベンダーの採用を支援するためのリファレンス実装を提供します。セキュリティー・リサーチャーは、リファレンス実装のCryptHmacSign関数にOOB リード脆弱性を発見しました。この問題は、リファレンス・コードが適切な一貫性チェックを実装していなかったため、潜在的なOOB リードが生じる可能性があります。攻撃者は、この不一致を悪用して、悪意のあるパケットを送信し、TPM メモリーからOOB リードを引き起こす可能性があり、機密データが暴露される可能性があります。認証されたローカル・アタッカーは、脆弱なTPM インターフェースに悪意のあるコマンドを送信し、情報漏洩やTPMのサービス拒否につながる可能性があります。TCG は、この脆弱性を解消するために、TPM 2.0 ライブラリ仕様のエラータ・アップデートと、リファレンス実装の更新をリリースしました。ユーザーは、ハードウェアやシステム・ベンダーから提供されるファームウェア・アップデートを強く推奨します。