製品の潜在的なセキュリティ脆弱性の報告

TI PSIRT について

TI では、TI の製品のセキュリティに高い優先度を設定しています。ただし、ご存じのように、製品のセキュリティにどれだけ労力を費やしたとしても、製品または顧客システムが 100% 安全になることはありません。TI は、潜在的なセキュリティの問題に迅速に対応するために必要な手順を取れるように、TI の製品に影響を与える潜在的なセキュリティの問題について学びたいと考えています。TI の PSIRT (Product Security Incident Response Team、製品セキュリティインシデント対応チーム) は、ハードウェア、ソフトウェア、資料を含めた TI の半導体製品に関する潜在的なセキュリティの脆弱性に対応するプロセスを管理しています。

潜在的なセキュリティの脆弱性を報告する方法

セキュリティの潜在的な脆弱性を報告するには、psirt@ti.com から TI PSIRT に問い合わせることができます。英語で報告する必要があります。TI は、E メールの受領の確認する返信を適時に差し上げます。

脆弱性情報は非常に機密性の高い情報です。TI PSIRT は、TI PSIRT PGP / GPG キーを使用して、提出されるすべてのセキュリティ脆弱性レポートを暗号化して送ることを強くお勧めしています。

指紋：898C ECC3 451F 9438 D972 06B6 4C13 1A0F 9AF0 04D8
公開鍵ファイル (ZIP、3KB)

PGP/GPG 暗号化メッセージを読み書きする無料のソフトウェアは次の場所から入手可能です。

レポートに含める推奨される情報

TI PSIRT が潜在的なセキュリティの脆弱性のトリアージを実行するために、次の情報を提供することをお勧めします。

影響を受ける可能性がある TI のハードウェアまたはソフトウェア製品 (バージョンまたはリビジョンを含む)
潜在的な脆弱性をいつ、どのように、誰が見つけたのか
関連する (1) 既知の違反および (2) 既知の CVE ID を含む、潜在的な脆弱性の技術的な説明
連絡先情報 (TI がなんらかの必要なフォローアップの質問をできるように)

レポートの処理プロセス

提出後、TI は次の処理に従って、潜在的なセキュリティの脆弱性を評価して、対応します。

通知：TI は潜在的なセキュリティの脆弱性を知るようになります。
初期トリアージ：TI は、TI 製品が影響を受ける可能性があるかどうか、および十分な情報が提供されたかどうかを判定するために、提出物を検討します。
技術的な分析：TI は、報告された潜在的な脆弱性を技術的な見地から詳細に調査します。^[1]
修正：TI は検証済みの製品セキュリティ脆弱性に対して適切なアクションをとります。
公開：適切な場合は、TI は検証済みの脆弱性に関する情報を公開し、セキュリティ報告またはカタログなどで修正機能を利用できるようにすることがあります。

^{[1] TI は、CVSS (Common Vulnerability Scoring System) v3.0 を使用して脆弱性を採点します。その結果、解析と修正の目的で脆弱性に正しい優先順位を割り当てることができます。必要に応じて、脆弱性に対する CVE (Common Vulnerabilities and Exposures) ID を作成することがあります。}

責任ある取扱い方針

大半のテクノロジー業界と同様に、TI PSIRT は責任ある取扱い方針に従っています。TI のポリシーでは、お客様が TI から期待できる内容、および TI がお客様から期待できる内容について説明しています。これは、脆弱性の適切な開示に関する CERT® ガイドに基づいています。レポートを送信する前に、TI の方針をご確認ください。お客様と TI との関係性の条件について説明しています。

TI の責任ある取り扱い方針をご覧ください

セキュリティカタログ

以下で、セキュリティの脆弱性 (弱点) に関する公開情報と、TI の利用可能な対処法をご覧になれます。

インシデント ID	概要	公開日 (YYYY-MM-DD)
TI-PSIRT-2018-060007	BLE-STACK のヒープオーバーフローに関する問題	2018-11-01 (2018 年 11 月 1 日)
TI-PSIRT-2019-010018	BT (BR/EDR) SIG エラッタ 11838 - LMP 暗号化鍵の最小サイズに関する変更	2019-08-20 (2019 年 8 月 20 日)
TI-PSIRT-2019-050023	CC256x と WL18xx 向けの Bluetooth Low Energy - LE (BLE) スキャンの脆弱性 (CVE-2019-15948)	2019-11-12 (2019 年 11 月 12 日)
TI-PSIRT-2019-060025	CC254x OAD: AES CTR 暗号化実装の脆弱性	2019-11-12 (2019 年 11 月 12 日)
TI-PSIRT-2019-060032	CC254x OAD: AES-CBC MAC 検証の脆弱性	2019-11-12 (2019 年 11 月 12 日)
TI-PSIRT-2019-100034	Bluetooth Low Energy – 予期していない公開鍵のクラッシュ (SweynTooth, CVE-2019-17520)	2020-02-19 (2020 年 2 月 19 日)
TI-PSIRT-2019-100036	Bluetooth Low Energy – 無効な接続要求 (SweynTooth, CVE-2019-19193)	2020-02-19 (2020 年 2 月 19 日)
TI-PSIRT-2019-080030	SimpleLink™ デバイス上での可変時間タグの比較	2020-02-28 (2020 年 2 月 28 日)
TI-PSIRT-2020-020038	Bluetooth Low Energy、BR (基本レート)、EDR (エンハンスドデータレート) – 方式混同ペアリングの脆弱性 (CVE-2020-10134)	2020-05-18 (2020 年 5 月 18 日)
TI-PSIRT-2020-040043	Bluetooth BR (基本レート)、EDR (エンハンスドデータレート) – Bluetooth なりすまし攻撃 (BIAS, CVE-2020-10135)	2020-05-18 (2020 年 5 月 18 日)
TI-PSIRT-2020-060056	Bluetooth® Low Energy – CC1350 と CC26x0 の各デバイス上で SPI を使用する UNPI パケットで長さチェックの欠落	2020-10-07 (2020 年 10 月 7 日)
TI-PSIRT-2020-100078	Amnesia オープンソース TCP/IP スタックの脆弱性 (AMNESIA:33)	2020-12-21 (2020 年 12 月 21 日)
TI-PSIRT-2020-070058	TI の Z-Stack ZigBee クラスタライブラリ (ZCL) の解析関数内に存在する潜在的なヒープオーバーフロー脆弱性	2021-01-22 (2021 年 1 月 22 日)
TI-PSIRT-2020-080063	Bluetooth® Low Energy – 継続的な OAD 動作の最中に接続の MTU サイズを更新すると、バッファオーバーフローが発生する可能性がある	2021-03-01 (2021 年 3 月 1 日)
TI-PSIRT-2020-100073	SimpleLink™ Wi-Fi® CC32xx/CC31xx SDK と SimpleLink MSP432E4 SDK 整数とバッファのオーバーフローに関する課題	2021-04-29 (2021 年 4 月 29 日)
TI-PSIRT-2020-100074	SimpleLink™ CC13XX、CC26XX、CC32XX、MSP432E4：整数オーバーフローの課題	2021-04-29 (2021 年 4 月 29 日)
TI-PSIRT-2020-100076	整数とバッファのオーバーフローの課題 – TI-NDK	2021-04-29 (2021 年 4 月 29 日)
TI-PSIRT-2020-090066	FragAttacks - フラグメンテーションおよび集約攻撃	2021-05-11 (2021 年 5 月 11 日)
TI-PSIRT-2020-100068	Bluetooth® SIG エラッタ – パスキー入力プロトコル (PEK) を使用するなりすまし	2021-05-23 (2021 年 5 月 23 日)
TI-PSIRT-2020-100069	Bluetooth® SIG エラッタ – LE (BLE) レガシーペアリングプロトコルの認証	2021-05-23 (2021 年 5 月 23 日)
TI-PSIRT-2020-090070	Bluetooth® Low Energy、BR (基本レート)、EDR (エンハンスドデータレート) – PIN コードペアリング鍵の派生	2021-05-23 (2021 年 5 月 23 日)
TI-PSIRT-2020-080064	CC13x2、CC26x2、CC2640R2 の各デバイスでブートイメージマネージャ (BIM) の潜在的なセキュリティ脆弱性	2021-05-24 (2021 年 5 月 24 日)
TI-PSIRT-2021-040098	InjectaBLE (BLE への注入可能)：確立済みの Bluetooth® Low Energy 接続への悪質なトラフィックの注入 (CVE-2021-31615)	2021-06-22 (2021 年 6 月 22 日)
TI-PSIRT-2021-050100	Bluetooth® Classic – BrakTooth V12 の脆弱性	2021-12-30 (2021 年 12 月 30 日)
TI-PSIRT-2021-100116	シリコンデバイスに対する物理的なセキュリティ攻撃	2022-01-31 (2022 年 1 月 31 日)
TI-PSIRT-2021-100117	統合型 HTTP サーバーの ping ユーティリティの脆弱性	2022-02-15 (2022 年 2 月 15 日)
TI-PSIRT-2022-100125	TI ( テキサス・インスツルメンツ) 802.15.4 スタック：SM 構成でフレームカウンタの検証機能が欠落	2022-06-08 (2022 年 6 月 8 日)
TI-PSIRT-2022-100118	CC1310 と CC1350 の各デバイスで ECC 入力検証の欠落	2022-06-13 (2022 年 6 月 13 日)
TI-PSIRT-2022-050133	SimpleLink™ MSP432E4 の上位レベルメモリ保護の課題	2022-09-14 (2022 年 9 月 14 日)
TI-PSIRT-2022-100128	TI ( テキサス・インスツルメンツ) の Wi-SUN® スタック：フレームカウンタの検証が不存在	2023-05-12 (2023 年 5 月 12 日)
TI-PSIRT-2022-090141	SimpleLink CC32XX SDK 整数オーバーフローの問題	2023-08-01 (2023 年 8 月 1 日)
TI-PSIRT-2021-100120	WiLink WL18xx PN 再利用の問題	2023-08-03 (2023 年 8 月 3 日)
TI-PSIRT-2022-120160	WL18xx MCP ドライバのバッファオーバーフロー	2023-08-10 (2023 年 8 月 10 日)
TI-PSIRT-2022-090143	Bluetooth LE セキュアペアリングペリフェラルデバイスが、中央デバイスとの接続に失敗する可能性がある	2023-08-28 (2023 年 8 月 28 日)
TI-PSIRT-2022-120154	Bluetooth SIG のエラッタ - GATT クライアントの再接続時の着信通知 / 表示テストが無効になる	2023-08-28 (2023 年 8 月 28 日)
TI-PSIRT-2023-040180	MSP430FR5xxx と MSP430FR6xxx IP カプセル化書き込みの脆弱性 (IP Encapsulation Write Vulnerability)	2023-08-29 (2023 年 8 月 29 日)
TI-PSIRT-2023-080189	C2000 DCSM ROM Gadget/ROP Vulnerability (C2000 DCSM (デュアルコードセキュリティモード) ROM のガジェット (改変済みの悪質なコード活用) / ROP (リターンオリエンテッドプログラミング：ガジェットと組み合わせ、戻りアドレスを改変) の脆弱性)	2023-11-13 (2023 年 11 月 13 日)
TI PSIRT は、必要に応じて情報を公開しています。これは、弊社が処理したインシデントの包括的なリストとはみなされません。特定のインシデントに関するお問い合わせ先： psirt@ti.com。

メディアのご質問

TI 製品のセキュリティに関する(メディアからのご質問は、直接 news.ti.com 宛に転送されることがあります。