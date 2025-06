Il Trusted Computing Group (TCG), che sviluppa lo standard TPM (Trusted Platform Module), ha pubblicato un bollettino di sicurezza (PDF) relativo ad una vulnerabilità nel codice di TPM 2.0 che potrebbe essere sfruttata per leggere dati sensibili presenti nel chip. AMD ha rilasciato un aggiornamento del firmware, quindi gli utenti devono verificare la disponibilità di nuovi BIOS.

Descrizione della vulnerabilità

La vulnerabilità, indicata con CVE-2025-2884, è stata individuata nel codice che implementa le versioni 1.38, 1.59 e 1.83 dello standard TPM 2.0. In dettaglio, il problema di sicurezza è presente nella funzione CryptHmacSign . Non viene effettuata correttamente la validazione dei messaggi tramite lo schema di firma HMAC.

L’assenza di verifica potrebbe portare alla lettura “out-of-band” di un buffer. Un cybercriminale potrebbe inviare comandi per leggere fino a 65535 byte oltre la fine del buffer, in cui sono presenti dati sensibili. Alla vulnerabilità è stata assegnata una gravità di livello medio, in quanto è necessario l’accesso locale al computer.

AMD ha pubblicato un bollettino di sicurezza per comunicare la disponibilità di nuovi firmware AGESA per i processori Ryzen 7000, 8000 e 9000. L’aggiornamento per i processori Ryzen 9000HX arriverà a luglio. Anche Intel ha rilasciato nuovi firmware.

Alcuni produttori di schede madri, tra cui ASUS e MSI, hanno già rilasciato nuovi BIOS. Gli utenti devono quindi verificare la disponibilità dell’aggiornamento sui rispettivi siti o tramite le utility fornite. Il rischio è limitato, ma è sempre consigliata l’installazione degli update più recenti.