CVE-2025-2884

Nome do Software Vulnerável e Versões Afetadas Versões do TCG TPM2.0 (versões afetadas não especificadas) Processadores AMD Ryzen (versões não especificadas)

Descrição A função CryptHmacSign da implementação de referência do TCG TPM2.0 contém uma falha devido à falta de validação entre o esquema de assinatura e o algoritmo da chave de assinatura, levando a uma leitura fora dos limites. Este problema, identificado como CVE-2025-2884, permite que atacantes locais potencialmente acessem memória sensível ou causem uma condição de negação de serviço. A vulnerabilidade afeta uma ampla gama de processadores AMD Ryzen, da série 3000 à série 9000. O problema permite que atacantes com privilégios de usuário padrão acessem dados sensíveis ou interrompam o funcionamento do TPM. A vulnerabilidade foi inicialmente tratada pela AMD em 2022, mas os fabricantes de placas-mãe somente implementaram correções recentemente em suas atualizações de BIOS devido às implicações de segurança do problema. A vulnerabilidade impacta Módulos de Plataforma Confiável virtuais (vTPM) usados nas Shielded VMs do Google Compute Engine.

Recomendações Atualize o firmware do TPM para a versão mais recente disponível. Atualize a BIOS da placa-mãe para a versão mais recente, especificamente aquelas que incluem AGESA 1.2.0.3e ou posterior para plataformas AM5. Para modelos Lenovo, aplique a atualização de firmware lançada em 30 de junho que aborda o CVE-2025-2884. Para sistemas que utilizam as Shielded VMs do Google Compute Engine, garanta que o vTPM esteja atualizado para corrigir a vulnerabilidade. Se estiver usando uma placa-mãe MSI, verifique e instale a correção de segurança para o CVE-2025-2884. Se estiver usando uma placa-mãe ASUS PRIME B450M-A/CSM, monitore as atualizações de BIOS que abordam o CVE-2025-2884.