TPM 2.0脆弱性

WithHappy

Windows 11要件TPM 2.0に、深刻度「重要」の脆弱性が発見されました。更新プログラムの迅速な適用が必要です。

原因:バッファオーバーフロー

Windows 11アップグレード要件にもなっているTPM 2.0ライブラリ内のバッファオーバーフロー起因だそうです(CVE-2023-1017、CVE-2023-1018)。

ウィキペディアにバッファオーバーフロー具体例が示されています。MCU開発で使われるC言語でも、簡単に起こりうるバグです。

対策:更新プログラム適用

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁

2023年2月末、このTPM 2.0脆弱性対策に、CISA:米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁は、更新プログラムの迅速な適用、場合によってはTPM工場出荷時リセットを指摘しています。

TPMには、個人情報などのWindows機密データが保存されています。

更新プログラム適用と不揮発性メモリへの機密データ再書込みが必要になりそうです。対象デバイスは、TPM 2.0実装済みのWindows PC数十億台規模になる可能性もあります。

関連投稿:WindowsのTPM使い方

TPM機能(出展:PC Watch記事)
TPM機能(出展:PC Watch記事)

懸念事項

PCベンダ対策が遅れ気味なこと、TPM 2.0更新が上手く成功するかが気になります。

一般的なWindows更新でも失敗はあります。ましてUEFI/BIOS更新と同様、TPM更新は、PCハードウェア根源レベルの更新です。万一の失敗時、PC起動不能もあり得ます。

また、TPMは、BitLockerなど普段あまり意識しないセキュリティにも関連します。TPM更新に成功した場合でも、TPM更新前ユーザファイルを確実にリカバリできる準備なども必要になるかもしれません。

関連投稿:BitLockerトラブル

安易にTPM更新を行った結果、機密データが消えるだけでなく、自分のデータも消え失せるリスクがある「重要更新」だと思います。PCベンダ対策が遅れ気味なのも、多少理解ができます。

Windows 12新要件

Windows 10、11、12、Linux?
Windows 10、11、12、Linux?

メタバースやAI活用検索などの新機能搭載やセキュリティ強化Windows 12 2024年秋リリースと予想できそうなニュースが増えてきました。

仮に今回の数十億台規模Windows 11 TPM 2.0更新が不成功なら、PCベンダやMicrosoftは、Windows 12アップグレードの新要件として、TPM 2.0の次バージョン(例えば、根源レベル更新強化TPM 3.0など)採用などへ発展する可能性のあるインシデントだと筆者は思います。