テクノロジー

製品の潜在的なセキュリティ脆弱性の報告

TI PSIRT について

TI では、TI の製品のセキュリティに高い優先度を設定しています。ただし、ご存じのように、製品のセキュリティにどれだけ労力を費やしたとしても、製品または顧客システムが 100% 安全になることはありません。TI は、潜在的なセキュリティの問題に迅速に対応するために必要な手順を取れるように、TI の製品に影響を与える潜在的なセキュリティの問題について学びたいと考えています。TI の PSIRT (Product Security Incident Response Team、製品セキュリティ・インシデント対応チーム) は、ハードウェア、ソフトウェア、資料を含めた TI の半導体製品に関する潜在的なセキュリティの脆弱性に対応するプロセスを管理しています。

潜在的なセキュリティの脆弱性を報告する方法

セキュリティの潜在的な脆弱性を報告するには、psirt@ti.com から TI PSIRT に問い合わせることができます。 英語で報告する必要があります。TI は、E メールの受領の確認する返信を適時に差し上げます。 

脆弱性情報は非常に機密性の高い情報です。TI PSIRT は、TI PSIRT PGP / GPG キーを使用して、提出されるすべてのセキュリティ脆弱性レポートを暗号化して送ることを強くお勧めしています。

 

PGP/GPG 暗号化メッセージを読み書きする無料のソフトウェアは次の場所から入手可能です。

レポートに含める推奨される情報

TI PSIRT が潜在的なセキュリティの脆弱性のトリアージを実行するために、次の情報を提供することをお勧めします。

  • 影響を受ける可能性がある TI のハードウェアまたはソフトウェア製品 (バージョンまたはリビジョンを含む)
  • 潜在的な脆弱性をいつ、どのように、誰が見つけたのか
  • 関連する (1) 既知の違反および (2) 既知の CVE ID を含む、潜在的な脆弱性の技術的な説明
  • 連絡先情報 (TI がなんらかの必要なフォローアップの質問をできるように)

レポートの処理プロセス

提出後、TI は次の処理に従って、潜在的なセキュリティの脆弱性を評価して、対応します。

  1. 通知:TI は潜在的なセキュリティの脆弱性を知るようになります。
  2. 初期トリアージ:TI は、TI 製品が影響を受ける可能性があるかどうか、および十分な情報が提供されたかどうかを判定するために、提出物を検討します。
  3. 技術的な分析:TI は、報告された潜在的な脆弱性を技術的な見地から詳細に調査します。[1]
  4. 修正:TI は検証済みの製品セキュリティ脆弱性に対して適切なアクションをとります。
  5. 公開:適切な場合は、TI は検証済みの脆弱性に関する情報を公開し、セキュリティ報告またはカタログなどで修正機能を利用できるようにすることがあります。 

 

[1] TI は、CVSS (Common Vulnerability Scoring System) v3.0 を使用して脆弱性を採点します。その結果、解析と修正の目的で脆弱性に正しい優先順位を割り当てることができます。 必要に応じて、脆弱性に対する CVE (Common Vulnerabilities and Exposures) ID を作成することがあります。

責任ある取扱い方針

大半のテクノロジー業界と同様に、TI PSIRT は責任ある取扱い方針に従っています。TI のポリシーでは、お客様が TI から期待できる内容、および TI がお客様から期待できる内容について説明しています。  これは、CERT® Guide to Coordinated Vulnerability Disclosure (英語) に基づいています。レポートを送信する前に、TI の方針をご確認ください。お客様と TI との関係性の条件について説明しています。

セキュリティに関する勧告 

以下で、セキュリティの脆弱性 (弱点) に関する公開情報と、TI の利用可能な対処法をご覧になれます。  

インシデント ID
概要
公開日
TI-PSIRT-2018-060007 BLE-STACK Heap Overflow Issue (英語) 2018 年 11 月 1 日
TI-PSIRT-2019-010018 BT (BR/EDR) SIG Errata 11838 - LMP Encryption Key Minimum Size Change (英語) 2019 年 8 月 20 日
TI-PSIRT-2019-050023 CC256x and WL18xx Bluetooth Low Energy - LE scan vulnerability (英語) (CVE-2019-15948) 2019 年 11 月 12 日
TI-PSIRT-2019-060025 CC254x OAD: AES CTR crypto implementation vulnerability (英語) 2019 年 11 月 12 日
TI-PSIRT-2019-060032 CC254x OAD: AES-CBC MAC verification vulnerability (英語) 2019 年 11 月 12 日
TI-PSIRT-2019-100034 Bluetooth Low Energy – unexpected public key crash (英語) (SweynTooth, CVE-2019-17520) 2020 年 2 月 19 日
TI-PSIRT-2019-100036 Bluetooth Low Energy – Invalid Connection Request (英語) (SweynTooth, CVE-2019-19193)
2020 年 2 月 19 日
TI-PSIRT-2019-080030 Variable Time Tag Comparison on SimpleLink™ Devices (英語) 2020 年 2 月 28 日
TI-PSIRT-2020-020038 Bluetooth Low Energy, Basic Rate/Enhanced DataRate – Method Confusion Pairing Vulnerability (英語) (CVE-2020-10134) 2020 年 5 月 18 日
TI-PSIRT-2020-040043 Bluetooth Basic Rate/Enhanced Data Rate –Bluetooth Impersonation Attacks (英語) (BIAS, CVE-2020-10135) 2020 年 5 月 18 日
TI-PSIRT-2020-060056 Bluetooth® Low Energy – Missing Length Check for
UNPI Packets Over SPI on CC1350 and CC26x0
Devices (英語)
2020 年 10 月 7 日
TI-PSIRT-2020-100078 Amnesia Open-Source TCP/IP Stack Vulnerabilities (英語) (AMNESIA:33) 2020 年 12 月 21 日
TI-PSIRT-2020-070058 TI の Z-Stack ZigBee クラスタ・ライブラリ (ZCL) の解析関数内に存在する潜在的なヒープ・オーバーフロー脆弱性 2021 年 1 月 22 日
TI-PSIRT-2020-080063 Bluetooth® Low Energy – 継続的な OAD 動作の最中に接続の MTU サイズを更新すると、バッファ・オーバーフローが発生する可能性がある 2021 年 3 月 1 日
TI-PSIRT-2020-100073 SimpleLink™ Wi-Fi® CC32xx/CC31xx SDK と SimpleLink MSP432E4 SDK:整数とバッファのオーバーフローに関する課題 2021 年 4 月 29 日
TI-PSIRT-2020-100074 SimpleLink™ CC13XX、CC26XX、CC32XX、MSP432E4:整数オーバーフローの課題 2021 年 4 月 29 日
TI-PSIRT-2020-100076 整数とバッファのオーバーフローの課題 – TI-NDK 2021 年 4 月 29 日
TI-PSIRT-2020-090066 FragAttacks - フラグメンテーションおよび集約攻撃 2021 年 5 月 11 日
TI-PSIRT-2020-100068 Bluetooth® SIG Erratum – Impersonation in the Passkey Entry Protocol (英語) 2021 年 5 月 23 日
TI-PSIRT-2020-100069 Bluetooth® SIG Erratum – Authentication of the LE Legacy Pairing Protocol (英語) 2021 年 5 月 23 日
TI-PSIRT-2020-090070 Bluetooth® Low Energy, Basic Rate/Enhanced Data Rate – PIN-Code Pairing Key Derivation (英語) 2021 年 5 月 23 日
TI-PSIRT-2020-080064 Boot Image Manager (BIM) Potential Security Vulnerabilities in CC13x2, CC26x2, CC2640R2 Devices (英語) 2021 年 5 月 24 日

TI PSIRT は、必要に応じて情報を公開しています。これは、弊社が処理したインシデントの包括的なリストとはみなされません。   特定のインシデントに関するお問い合わせ先: psirt@ti.com

メディアのご質問

TI 製品のセキュリティに関する(メディアからのご質問は、直接 news.ti.com 宛に転送されることがあります。