-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid gevonden in Trusted Platform Modules van Intel en STMicroelectronics Advisory ID : NCSC-2019-0885 Versie : 1.00 Kans : medium CVE ID : CVE-2019-11090, CVE-2019-16863 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Toegang tot gevoelige gegevens Uitgiftedatum : 20191113 Toepassing : Intel Core Intel Xeon Versie(s) : Platform(s) : Beschrijving Onderzoekers hebben een kwetsbaarheid gevonden in de digitaleondertekeningsalgoritmes ECDSA en ECSchnorr op Trusted Platform Modules (TPM) van STMicroelectronics en Intel. Een kwaadwillende kan met een timing-aanval de privé-sleutels achterhalen die gebruikt worden voor ondertekening. Hiertoe moet de kwaadwillende code kunnen uitvoeren op het systeem met de kwetsbare TPM. Ook kan in specifieke situaties de sleutel achterhaald worden via een aanval over een computernetwerk. Dit is echter alleen nog aangetoond op een lokaal netwerk. Voor meer informatie over de kwetsbaarheid, zie: http://tpm.fail/ Microsoft heeft aangegeven dat Windows ECDSA niet gebruikt en dus niet vatbaar is voor de kwetsbaarheid. Andere software kan mogelijk wel gebruikmaken van ECDSA. Voor meer informatie, zie: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory /ADV190024 Mogelijke oplossingen Intel heeft een update uitgebracht die de kwetsbaarheid verhelpt. Deze update is inmiddels door verscheidene hardwarefabrikanten beschikbaar gesteld. https://www.intel.com/content/www/us/en/security-center/advisory /intel-sa-00241.html STMicroelectronics heeft firmware-updates uitgebracht die de kwetsbaarheid verhelpen. https://www.st.com/tpm-update Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 502) Charset: utf-8 wsDVAwUBXcw32n+MTEyIH2VcAQqX+gv+MtvC3QsHr47TUZ31wTk2HTCIgWjbJak0 YdwuP8rTsqwWk9XmzZke27ScmDQ4uc4cZLaNimd/GRq2xgJz6qQS4l1dOV1+wESV qSJiZDLxuP+JppZMqIWKco4S1gp3Hx1ARrmz3gQ3MNqABHkmONb+18lGZAxyNRQF G0HBUawZ1FlybvLg4+7E8/AXL2cSk5OdWOLPFarJBMIQZrp8gqJ43pvGP7GrUn8P VE2H7dvkNx2zUjAdADT7wE5rgwtRu9b+8YjlJQZrUHIGUgoL/+ymjamTgXv2mnFZ rQl+jxFtFe1ykqSf7wAyFZp6sICDWCg/1b2Ct/YKsCG4GJvaFIEe1UB78doXJeyw q6NC2Cx6T5+VkYW+iqKjjJTaMG8rgSw90tz72DkBl2fN3DIxlZ+ydmUXvtHLFC0X e1j1Tn0z/Yzoma4lL20nC+a8EOrWv/UGH4duFARJlI7buwvp0tNbJNN1skEuyoAL wU45BYA63UIs9MYhSbujZM+DdxV38CTU =T0lK -----END PGP SIGNATURE-----