Esa es una pregunta bastante complicada.
En primer lugar: si en realidad es ROM, es a prueba de falsificaciones. ROM es, eléctricamente, memoria de solo lectura. No se puede cambiar.
Ahora, es perfectamente posible que el chip TPM ejecute un firmware que, de hecho, esté en la memoria grabable.
Hay muchas formas de protegerse: por ejemplo, al hacer que solo se pueda acceder a la memoria del firmware a través del comando proveniente del propio firmware, en ese caso, el firmware tiene el trabajo de verificar si se debe aceptar una actualización del firmware. p.ej. comprobando la firma electrónica de quién está intentando actualizar el firmware.
El Firmware cargable también podría ser verificado, por el gestor de arranque residente en ROM, por ejemplo. para firmas digitales que coincidan con la clave del fabricante en una pieza de ROM.
Otros métodos implican obtener líneas de señal especiales de la CPU que solo son altas cuando la CPU está en SMM (modo de administración del sistema, algo que generalmente solo puede ingresar el UEFI).
¿Qué tipo de ROM utilizan normalmente los TPM? Una vez programada,
¿O máscara programada para que sea imposible cambiar el contenido después de la fabricación?
Ni siquiera puedo decirte si es realmente ROM, como puedes ver arriba. Es un detalle de implementación, y estoy seguro de que puede conocer los diferentes enfoques que los fabricantes eligieron en su hoja de datos.