TheHackerNews網站消息,可信平臺模塊(TPM)2.0參考庫規范中爆出一個嚴重安全漏洞,這些漏洞可能會導致設備信息泄露或權限提升。
漏洞或影響數十億物聯網設備
2022年11月,網絡安全公司Quarkslab發現并報告漏洞問題,其中一個漏洞被追蹤為CVE-2023-1017(涉及越界寫入),另一個漏洞追蹤為CVE-2023-1018(可能允許攻擊者越界讀取)。
Quarkslab指出,使用企業計算機、服務器、物聯網設備、TPM嵌入式系統的實體組織以及大型技術供應商可能會受到這些漏洞的影響,并一再強調,漏洞可能會影響數十億設備。
可信平臺模塊(TPM)
可信平臺模塊(TPM)技術是一種基于硬件的解決方案,可為現代計算機上的操作系統提供安全的加密功能,使其能夠抵抗篡改。
微軟表示,最常見的TPM功能用于系統完整性測量以及密鑰創建和使用,在系統啟動過程中,可以測量加載的啟動代碼(包括固件和操作系統組件)并將其記錄在TPM中,完整性測量值可用作系統啟動方式的證據,并確保僅在使用正確的軟件啟動系統時才使用基于TPM的密鑰。
可信計算組織(TCG)
漏洞事件發酵后,可信計算組織(簡稱:TCG,由AMD、惠普、IBM、英特爾和微軟組成)指出,由于缺乏必要的檢查,出現漏洞問題,最終或引起本地信息泄露或權限升級。
CERT協調中心(CERT/CC)在一份警報中表示,受影響的用戶應該考慮使用TPM遠程驗證來檢測設備變化,并確保其TPM防篡改。
最后,安全專家建議用戶應用TCG以及其它供應商發布的安全更新,以解決這些漏洞并減輕供應鏈風險。
