VU#282450: TCG TPM2.0 레퍼런스 구현에서 발생하는 경계 외 읽기 취약점
신뢰 플랫폼 모듈(TPM) 2.0 참조 라이브러리 사양에서 취약점이 발견되었습니다. 이 취약점은 TPM 명령 인터페이스에 접근할 수 있는 공격자에 의해 악용될 수 있습니다. 공격자는 특수하게 제작된 명령어를 전송하여 민감한 데이터에 대한 무단 접근 또는 TPM의 서비스 거부를 유발할 수 있습니다. TPM 기술은 최신 컴퓨팅 플랫폼의 운영 체제에 안전한 암호화 기능을 제공합니다. 신뢰 컴퓨팅 그룹(TCG)은 TPM 사양을 유지 관리하고 공급업체의 채택을 지원하기 위해 참조 구현을 제공합니다. 한 보안 연구원이 참조 구현의 CryptHmacSign 함수에서 OOB(Out-Of-Bounds) 읽기 취약점을 발견했습니다. 이 문제는 참조 코드가 적절한 일관성 검사를 구현하지 않아 잠재적인 경계를 벗어난 읽기가 발생하기 때문에 발생합니다. 공격자는 악의적으로 제작된 패킷을 제출하여 이 불일치를 악용할 수 있으며, 이는 TPM 메모리에서 경계를 벗어난 읽기를 초래하여 민감한 데이터가 노출될 수 있습니다. 인증된 로컬 공격자는 취약한 TPM 인터페이스에 악성 명령을 보내 TPM의 정보 유출 또는 서비스 거부를 유발할 수 있습니다. TCG는 이 취약점을 해결하기 위해 TPM 2.0 라이브러리 사양에 대한 정오표 업데이트를 발표하고 참조 구현을 업데이트했습니다. 사용자는 하드웨어 또는 시스템 공급업체에서 제공하는 TPM 관련 펌웨어 업데이트를 적용하는 것이 좋습니다.