Quarkslab的网络安全研究人员在可信平台模块(TPM)2.0中发现了两个漏洞，这可能会给“数十亿”设备带来重烦。

TPM2.0是PC制造商自2016年年中以来一直添加到主板的芯片。正如微软解释的那样，该技术旨在提供“与安全相关的功能”。该芯片有助于生成、存储和限制加密密钥的使用。

(相关资料图)

该公司进一步解释说，许多TPM包括物理安全机制以使其防篡改。

TPM2.0缺陷

现在，研究人员FranciscoFalcon和IvanArce发现了越界读取(CVE-2023-1017)和越界写入(CVE-2023-1018)漏洞，这些漏洞可能允许威胁参与者提升权限并窃取敏感数据来自易受攻击的端点(在新标签页中打开).BleepingComputer表示，这些缺陷的影响可能因供应商而异。

“有权访问TPM命令接口的攻击者可以向模块发送恶意制作的命令并触发这些漏洞，”CERT警告说。“这允许对敏感数据进行只读访问或覆盖仅对TPM可用的通常受保护的数据(例如，加密密钥)。”

担心这些缺陷的组织应该转向以下修复版本之一：

TMP2.0v1.59勘误表1.4或更高版本

TMP2.0v1.38勘误表1.13或更高版本

TMP2.0v1.16勘误表1.6或更高版本

显然，联想是唯一一家已经针对这些缺陷发布安全公告的主要OEM，其他厂商有望很快效仿。

要滥用该漏洞，威胁行为者需要对设备进行经过身份验证的访问。然而，研究人员警告说，任何已经在端点上运行的恶意软件都会有这个先决条件。