CVE-2023-1017
TPM 2.0のモジュールライブラリに境界外書き込みの脆弱性が存在し、CryptParameterDecryptionルーチンでTPM 2.0コマンドの末尾以降に2バイトのデータを書き込むことができます。攻撃者は、この脆弱性を悪用することで、サービス拒否(TPMチップ/プロセスのクラッシュさせる、または使用不可にする)の実行や、TPMコンテキストで任意のコードを実行する可能性があります。
CVE-2023-1018
TPM 2.0のモジュールライブラリに境界外読み取りの脆弱性が存在し、CryptParameterDecryptionルーチンでTPM 2.0コマンドの末尾以降に2バイトのデータを読み込むことができます。攻撃者は、この脆弱性を悪用することでTPMに保存されている機密データの読み取りやアクセスする可能性があります。
Moxaは、この脆弱性によって影響を受ける自社製品があるかどうかの調査を実施しています。このたびの公開時点では、影響を受けるMoxaの製品はありません。
Moxaの製品セキュリティインシデント対策チーム(PSIRT)は今後も状況の監視を続けます。この脆弱性の状況に更新があり、Moxaの製品に影響が及ぶ可能性がある場合は、最新情報を直ちにご提供します。