公開日:2023/03/03 最終更新日:2023/10/23

JVNVU#95600622
Trusted Computing GroupのTPM2.0実装における複数の脆弱性

概要

Trusted Computing GroupのTPM2.0実装には複数の脆弱性が存在します。

影響を受けるシステム

  • Trusted Computing GroupのTPM2.0を実装した製品

CERT/CC VU#782720のVendor Informationも参照してください。

詳細情報

Trusted Computing GroupのTPM2.0実装には、次の複数の脆弱性が存在します。

  • 境界外読み取り (CWE-125) - CVE-2023-1018
  • 境界外書き込み (CWE-787) - CVE-2023-1017

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • TPMファームウェア内の保護された情報を窃取される
  • TPMがクラッシュさせられたり、TPM内で任意のコードが実行されたりする

対策方法

Trusted Computing Groupは、これらの脆弱性に対処するための説明を記載したErrata for TPM2.0 Library Specificationを公開しています。
ハードウェアおよびソフトウェアメーカーが提供する情報を注視し、最新のアップデートを適用してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
NTT-CERT 脆弱性情報提供済み 2023/03/03
アライドテレシス株式会社 該当製品無し 2023/03/03
オリンパス株式会社 脆弱性情報提供済み 2023/03/03
パナソニック ホールディングス株式会社 該当製品無し(調査中) 2023/03/10
富士通株式会社 該当製品無し(調査中) 2023/03/03
日本電気株式会社 脆弱性情報提供済み 2023/03/03
日立 脆弱性情報提供済み 2023/03/03
株式会社コンテック 該当製品無し 2023/03/03
株式会社リコー 該当製品無し 2023/10/23
楽天モバイル株式会社 該当製品無し 2023/03/03
横河計測株式会社 脆弱性情報提供済み 2023/03/03
ベンダ リンク
Trusted Computing Group TPM 2.0 Library

参考情報

  1. Vulnerability Note VU#782720
    TCG TPM2.0 implementations vulnerable to memory corruption

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/03/10
パナソニック ホールディングス株式会社のベンダステータスが更新されました
2023/10/23
株式会社リコーのベンダステータスが更新されました