TheHackerNews網(wǎng)站消息,可信平臺模塊(TPM)2.0參考庫規(guī)范中爆出一個嚴(yán)重安全漏洞,這些漏洞可能會導(dǎo)致設(shè)備信息泄露或權(quán)限提升。
漏洞或影響數(shù)十億物聯(lián)網(wǎng)設(shè)備
2022年11月,網(wǎng)絡(luò)安全公司Quarkslab發(fā)現(xiàn)并報告漏洞問題,其中一個漏洞被追蹤為CVE-2023-1017(涉及越界寫入),另一個漏洞追蹤為CVE-2023-1018(可能允許攻擊者越界讀取)。
Quarkslab指出,使用企業(yè)計算機(jī)、服務(wù)器、物聯(lián)網(wǎng)設(shè)備、TPM嵌入式系統(tǒng)的實體組織以及大型技術(shù)供應(yīng)商可能會受到這些漏洞的影響,并一再強(qiáng)調(diào),漏洞可能會影響數(shù)十億設(shè)備。
可信平臺模塊(TPM)
可信平臺模塊(TPM)技術(shù)是一種基于硬件的解決方案,可為現(xiàn)代計算機(jī)上的操作系統(tǒng)提供安全的加密功能,使其能夠抵抗篡改。
微軟表示,最常見的TPM功能用于系統(tǒng)完整性測量以及密鑰創(chuàng)建和使用,在系統(tǒng)啟動過程中,可以測量加載的啟動代碼(包括固件和操作系統(tǒng)組件)并將其記錄在TPM中,完整性測量值可用作系統(tǒng)啟動方式的證據(jù),并確保僅在使用正確的軟件啟動系統(tǒng)時才使用基于TPM的密鑰。
可信計算組織(TCG)
漏洞事件發(fā)酵后,可信計算組織(簡稱:TCG,由AMD、惠普、IBM、英特爾和微軟組成)指出,由于缺乏必要的檢查,出現(xiàn)漏洞問題,最終或引起本地信息泄露或權(quán)限升級。
CERT協(xié)調(diào)中心(CERT/CC)在一份警報中表示,受影響的用戶應(yīng)該考慮使用TPM遠(yuǎn)程驗證來檢測設(shè)備變化,并確保其TPM防篡改。
最后,安全專家建議用戶應(yīng)用TCG以及其它供應(yīng)商發(fā)布的安全更新,以解決這些漏洞并減輕供應(yīng)鏈風(fēng)險。
