ニュース

Windows 11の要件にもなっている「TPM 2.0」の脆弱性、AMD製CPUにも影響

対策版のCPUファームウェアをOEMへ提供

同社のセキュリティ情報

 米AMDは4月11日(現地時間)、「TPM 2.0」のリファレンス実装で発見された脆弱性が自社製CPUの一部に影響することを明らかにした。ローカルアカウントから「TPM 2.0」の保護された領域へアクセスできてしまう可能性があるという。

 この脆弱性は、フランスのセキュリティ会社Quarkslabによって今年の3月に報告されたもの。以下の2つの脆弱性からなる。

  • CVE-2023-1018:境界外読み取りの欠陥により、「TPM 2.0」コマンドの最後から2バイトを読み取ることができる。TPMに保存されている機密データが読み取られる可能性がある(Medium)
  • CVE-2023-1017:境界外書き込みの欠陥により、「TPM 2.0」コマンドの終端を越えて2バイトのデータを書き込める。サービス拒否(DoS)状態に陥ったり、TPMのコンテキストで任意のコードが実行できる可能性がある(High)

 AMD社によると、これらの脆弱性は第2世代「AMD Ryzen Threadripper」(Colfax)に影響するとのこと。既存の保護機能によりコードの実行やデータの流出は防止されるとしているが、領域外アクセスによってエラーが発生し、サービス拒否状態に陥る可能性は残っている。

 同社は対策版のCPUファームウェア「AGESA」をOEMへ提供済み。BIOSアップデートについては、OEMに問い合わせてほしいとしている。