TPM 2.0库中的新漏洞对数十亿物联网和企业设备构成威胁

据境外网络安全资讯媒体披露：可信平台模块(TPM)2.0参考库规范中发现了一对严重的安全缺陷，这些缺陷可能会导致信息泄露或权限提升。

其中一个漏洞CVE-2023-1017涉及越界写入，而另一个漏洞CVE-2023-1018被描述为越界读取。网络安全公司 Quarkslab 在2022年11月发现并报告了这些问题。

“这些漏洞可以通过向 TPM 2.0 发送恶意命令从用户模式应用程序触发，TPM 2.0 的固件基于受影响的 TCG 参考实现，”可信计算组 (TCG) 在一份公告中表示。

Quarkslab指出，大型技术供应商、使用企业计算机、服务器、物联网设备和包含 TPM 的嵌入式系统的组织可能会受到这些缺陷的影响，并补充说它们“可能会影响数十亿台设备” 。

TPM是一种基于硬件的解决方案（即加密处理器），旨在提供安全的加密功能和物理安全机制。

“最常见的 TPM 功能用于系统完整性检测以及密钥创建和使用，”微软在其文档中说。“在系统启动过程中，加载的启动代码（包括固件和操作系统组件）可以被测量并记录在TPM中。”

“完整性测量可用作系统启动方式的证据，并确保仅在使用正确的软件启动系统时才使用基于TPM的密钥。”

TCG联盟指出，目前发现的漏洞是代码中缺乏必要的缓冲区长度检查导致缓冲区溢出，这可能为本地信息泄露或特权升级铺平道路。

建议用户应用TCG 以及其他供应商发布的更新来解决漏洞并降低供应链风险。

CERT 协调中心 (CERT/CC) 在警报中表示：“安全系数要求较高的计算环境中的用户应考虑使用TPM远程证明来检测设备的任何更改并确保其TPM是防篡改的，”。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4612.html