The Hacker News 網(wǎng)站消息，可信平臺(tái)模塊 ( TPM ) 2.0 參考庫(kù)規(guī)范中爆出一個(gè)嚴(yán)重安全漏洞，這些漏洞可能會(huì)導(dǎo)致設(shè)備信息泄露或權(quán)限提升。

漏洞或影響數(shù)十億物聯(lián)網(wǎng)設(shè)備

2022 年 11 月，網(wǎng)絡(luò)安全公司 Quarkslab 發(fā)現(xiàn)并報(bào)告漏洞問題，其中一個(gè)漏洞被追蹤為 CVE-2023-1017（涉及越界寫入），另一個(gè)漏洞追蹤為 CVE-2023-1018（可能允許攻擊者越界讀取）。

Quarkslab 指出，使用企業(yè)計(jì)算機(jī)、服務(wù)器、物聯(lián)網(wǎng)設(shè)備、TPM 嵌入式系統(tǒng)的實(shí)體組織以及大型技術(shù)供應(yīng)商可能會(huì)受到這些漏洞的影響，并一再?gòu)?qiáng)調(diào)，漏洞可能會(huì)影響數(shù)十億設(shè)備。

可信平臺(tái)模塊 (TPM)

可信平臺(tái)模塊 (TPM) 技術(shù)是一種基于硬件的解決方案，可為現(xiàn)代計(jì)算機(jī)上的操作系統(tǒng)提供安全的加密功能，使其能夠抵抗篡改。

微軟表示，最常見的 TPM 功能用于系統(tǒng)完整性測(cè)量以及密鑰創(chuàng)建和使用，在系統(tǒng)啟動(dòng)過程中，可以測(cè)量加載的啟動(dòng)代碼（包括固件和操作系統(tǒng)組件）并將其記錄在 TPM 中，完整性測(cè)量值可用作系統(tǒng)啟動(dòng)方式的證據(jù)，并確保僅在使用正確的軟件啟動(dòng)系統(tǒng)時(shí)才使用基于 TPM 的密鑰。

可信計(jì)算組織（TCG）

漏洞事件發(fā)酵后，可信計(jì)算組織（簡(jiǎn)稱：TCG，由 AMD、惠普、IBM、英特爾和微軟組成）指出，由于缺乏必要的檢查，出現(xiàn)漏洞問題，最終或引起本地信息泄露或權(quán)限升級(jí)。

CERT 協(xié)調(diào)中心（CERT/CC）在一份警報(bào)中表示，受影響的用戶應(yīng)該考慮使用 TPM 遠(yuǎn)程驗(yàn)證來檢測(cè)設(shè)備變化，并確保其 TPM 防篡改。

最后，安全專家建議用戶應(yīng)用 TCG 以及其它供應(yīng)商發(fā)布的安全更新，以解決這些漏洞并減輕供應(yīng)鏈風(fēng)險(xiǎn)。