CVE-2024-22473
Uninitialized TRNG used for ECDSA after EM2/EM3 sleep for VSE devices
En resumen
Un generador de números aleatorios utilizado para firmas digitales no se inicializa correctamente cuando el dispositivo sale del modo de suspensión, permitiendo que atacantes falsifiquen firmas digitales recreando las claves utilizadas para firmarlas.
Detalle técnico
El TRNG (Generador de Números Aleatorios Verdadero) es accedido por el controlador de firma ECDSA antes de su inicialización al salir de los estados de suspensión EM2/EM3 en dispositivos VSE, creando un estado criptográfico predecible. Esto permite suplantación de firma mediante recreación de claves debido a entropía insuficiente durante la ventana crítica de inicialización. Afecta Gecko SDK versiones hasta v4.4.0.
Resumen generado y traducido por IA a partir de la descripción oficial.
TRNG is used before initialization by ECDSA signing driver when exiting EM2/EM3 on Virtual Secure Vault (VSE) devices. This defect may allow Signature Spoofing by Key Recreation.This issue affects Gecko SDK through v4.4.0.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
Productos afectados
silabs.com · GSDK¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://community.silabs.com/068Vm000001FrjT