PT-2022-11215 · Unknown · Trusted Firmware-M
Publicado
2022-01-13
·
Atualizado
2022-01-25
·
CVE-2021-40327
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Trusted Firmware-M (TF-M) versão 1.4.0
Descrição
O problema está relacionado a um controle de acesso incorreto no Trusted Firmware-M (TF-M) quando o Profile Small é utilizado. Especificamente, o Ambiente de Processamento Não Seguro (NSPE) pode acessar uma chave segura mantida pelo serviço Crypto com base apenas no conhecimento de seu ID de chave, sem qualquer verificação de autorização associada à relação entre um chamador e o proprietário da chave.
Recomendações
Para o Trusted Firmware-M (TF-M) versão 1.4.0, considere restringir o acesso ao serviço Crypto para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere implementar verificações de autorização adicionais para o acesso à chave, a fim de garantir que apenas chamadores autorizados possam acessar chaves seguras.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Trusted Firmware-M