TPM2.0 に脆弱性が見つかる。影響は数十億台か

TPM2.0 に脆弱性が見つかる。影響は数十億台か 16

ストーリー by nagazou 2023年03月08日 12時00分
脆弱性部門より

Windows 11の動作要件でもあるTPM 2.0モジュールライブラリに脆弱性2種類が発見されたそうだ。セキュリティ企業Quarkslabの研究者によって、TPM 2.0の参照ライブラリの仕様の中で見つかったという（CERT Coordination Centerのリリース、PC Watch）。

見つかった脆弱性はCVE-2023-1018とCVE-2023-1017で、TPMコマンドの一部であるパラメータの一部を処理する方法「CryptParameterDecryption()」にルーチンの範囲外(アウトオブバウンド)読み込みの不具合があり、現在のセッションの一部にはない2バイトの読み取りアクセスが可能だったとしている。TPM 2.0を策定したTrusted Computing Groupはこの問題を認識しており、更新プログラムを提供することで脆弱性に対処するとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索16コメント Log In/Create an Account

どうということはない (スコア:0)

by Anonymous Coward on 2023年03月08日 12時51分 (#4423288)

Haswellおじさん（BIOSにfTPM項目なし）
- Re:どうということはない (スコア:1)
  
  by Anonymous Coward on 2023年03月08日 17時09分 (#4423478)
  
  発売2年で見捨てられたRyzen 第1世代おじさんもここにいるよ
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Ryzen 1st gen はfTPM対応だよ。
    - Re:どうということはない (スコア:2)
      
      by tux (14291) on 2023年03月09日 8時30分 (#4423731)
      
      >AMD CPUでは初代Ryzenと2000シリーズの間で線引きが行なわれている状況だ。
      https://pc.watch.impress.co.jp/docs/column/ubiq/1334310.html [impress.co.jp]
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Sandyじいさんは…もう寝たきり(電源OFF)なのでどうでもいいか
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ぼく｢あまえんな氏ぬまで働け！｣
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    こないだまでIvyBridge(Core i5 3470)使っていてRyzen 5 5600Gに乗り換えたけど、CPU性能って数倍増えてもあんまり日常タスクの体感で変わらない。
    シティスカやゲームは多少良くなったけど、開発時とかはよく分からん。
    メモリを増やした(16GB→32GB)のが一番大きかった。
    と考えるとメモリさえ十分あれば割とまだ使っていて良いと思う。
    Windows 10のサポート期間終わるまでは。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      メモリもだけどストレージをSSDにするのが大きいですよね。
      そしたらIvyでもさして問題ない。いやもちろん最新のほうが速いけど。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        そうなんだよな、SSD載せてしまえばivyあたりも最新もそんなに体感速度変わらんのだよな…
        ベンチマークはNVMeの方が速いんだけど。しかし「Windowsの起動速度」とか実用的なものはSATAと変わらんし。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    非対応機種なので TPM2.0 回避してインストールしている
    自分も高みの見物。
    対応機種でも個人だとBitLockerは使っていないだろう。
    IT部門ゴリ押しの貸与PC以外は平気ではと思うの。
    # 攻撃?方法が分からないのだけど、何が危ないんだ?
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      まぁ、たった2バイト読み取れたところで何が出来るんだ？って話はあるな。
      BoFも4バイトだっけ？やはり何かが出来るとは思えん。
      # セキュリティ問題も短絡的に危ないと決め付けるんじゃなくて、現実的に「使える」のか判断が必要。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        スラドだと2バイトの読み込みとしか書かれてないが、ソースを当たると2バイトの書き込みも出来るとある
        おかしな鍵を書き込めば暗号化されたディスクの復号を妨げられるし、メモリアドレスの書き換えに成功すれば任意コード実行に繋がるので割りと何でもありだな
Linuxや仮想マシンの対応は？ (スコア:0)

by Anonymous Coward on 2023年03月09日 2時28分 (#4423677)

仕様作った所がやらかしたバグだから、OS関係ないんだよね。
LinuxもIBM系のlibtpms使ってるとアウト。
VMwareとかその辺の仮想TPMとかは呼ばれる側だから平気って扱いで良いのだろうか？
パススルードライバーとかが大丈夫かは気になる。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  パッチが出ていますよ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  だよね、タイトルにWindows 11を無理にいれる必要があったのかな >> PC Watch
  確かに要件にはなってるけどさ
参照ライブラリ (スコア:0)

by Anonymous Coward on 2023年03月13日 9時16分 (#4425563)

って, TCGのリファレンスコードに脆弱性があったってことだから, それをそのまま使っていればアウト.
多くのハードウェアTPMベンダは, 独自でやっていて大丈夫って言っているけど, VM作っているVMwareやOracleなどがまだ未回答ということで...

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

TPM2.0 に脆弱性が見つかる。影響は数十億台か More ログイン

どうということはない (スコア:0)

Re:どうということはない (スコア:1)

Re: (スコア:0)

Re:どうということはない (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Linuxや仮想マシンの対応は？ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

参照ライブラリ (スコア:0)