JVNVU#91137355
TCG TPM2.0のリファレンス実装に境界外読み込みの脆弱性

Trusted Computing Group（TCG）が提供しているTrusted Platform Module（TPM）2.0のリファレンス実装コードには境界外読み込みの脆弱性が存在します。

• TCGが提供しているTPM 2.0のリファレンス実装コードRevision 1.83、1.59あるいは1.38を使用して実装したファームウェアを搭載したTPM 2.0製品

TPMは、デバイス上のオペレーティングシステムに暗号化機能を提供するハードウェアベースのソリューションです。TCGは、TPMの仕様を整備し、ベンダーによる導入を支援するためのリファレンス実装を提供しています。リファレンス実装のCryptHmacSign関数には適切なチェックが実装されておらず、細工されたデータを処理することで境界外読み込みが発生することが確認されました。この脆弱性に対してCVE-2025-2884がアサインされています。

脆弱なTPMインターフェースに対して細工されたデータを送信された場合、情報漏洩やサービス運用妨害（DoS）状態が発生する可能性があります。

アップデートする
TCGは、本件への対応についてアドバイザリTCGVRT0009を提供しています。