TPM 2.0 爆出漏洞���,數(shù)十億物聯(lián)網(wǎng)設(shè)備受到嚴重威脅����!
The Hacker News 網(wǎng)站消息�,可信平臺模塊 ( TPM ) 2.0 參考庫規(guī)范中爆出一個嚴重安全漏洞,這些漏洞可能會導(dǎo)致設(shè)備信息泄露或權(quán)限提升����。
漏洞或影響數(shù)十億物聯(lián)網(wǎng)設(shè)備
2022 年 11 月,網(wǎng)絡(luò)安全公司 Quarkslab 發(fā)現(xiàn)并報告漏洞問題��,其中一個漏洞被追蹤為 CVE-2023-1017(涉及越界寫入)����,另一個漏洞追蹤為 CVE-2023-1018(可能允許攻擊者越界讀取)。
Quarkslab 指出�����,使用企業(yè)計算機�、服務(wù)器、物聯(lián)網(wǎng)設(shè)備���、TPM 嵌入式系統(tǒng)的實體組織以及大型技術(shù)供應(yīng)商可能會受到這些漏洞的影響���,并一再強調(diào)����,漏洞可能會影響數(shù)十億設(shè)備����。
可信平臺模塊 (TPM)
可信平臺模塊 (TPM) 技術(shù)是一種基于硬件的解決方案,可為現(xiàn)代計算機上的操作系統(tǒng)提供安全的加密功能����,使其能夠抵抗篡改。
微軟表示��,最常見的 TPM 功能用于系統(tǒng)完整性測量以及密鑰創(chuàng)建和使用�����,在系統(tǒng)啟動過程中����,可以測量加載的啟動代碼(包括固件和操作系統(tǒng)組件)并將其記錄在 TPM 中,完整性測量值可用作系統(tǒng)啟動方式的證據(jù)����,并確保僅在使用正確的軟件啟動系統(tǒng)時才使用基于 TPM 的密鑰�����。
可信計算組織(TCG)
漏洞事件發(fā)酵后��,可信計算組織(簡稱:TCG����,由 AMD�����、惠普���、IBM、英特爾和微軟組成)指出���,由于缺乏必要的檢查���,出現(xiàn)漏洞問題,最終或引起本地信息泄露或權(quán)限升級����。
CERT 協(xié)調(diào)中心(CERT/CC)在一份警報中表示���,受影響的用戶應(yīng)該考慮使用 TPM 遠程驗證來檢測設(shè)備變化,并確保其 TPM 防篡改����。
最后,安全專家建議用戶應(yīng)用 TCG 以及其它供應(yīng)商發(fā)布的安全更新��,以解決這些漏洞并減輕供應(yīng)鏈風(fēng)險����。
參考文章:
https://thehackernews.com/2023/03/new-flaws-in-tpm-20-library-pose-threat.html
文章來源:FreeBuf
在線咨詢
在線咨詢
0371-63319761