Новости Опасные уязвимости в библиотеке TPM 2.0 могут затронуть миллиарды IoT и корпоративных устройств

[NewsMaker]

Недостатки связаны с переполнением буфера и приводят к раскрытию конфиденциальной информации.​

---

---

В спецификации справочной библиотеки Trusted Platform Module (TPM) 2.0 были обнаружены две опасные уязвимости, которые потенциально могут привести к раскрытию информации или повышению привилегий.

• Уязвимость записи за пределами допустимого диапазона Для просмотра ссылки Войди или Зарегистрируйся ;
• Уязвимость чтения за пределами допустимого диапазона Для просмотра ссылки Войди или Зарегистрируйся .

В Для просмотра ссылки Войди или Зарегистрируйся Trusted Computing Group (TCG) говорится, что эти уязвимости могут быть вызваны из приложений пользовательского режима путем отправки вредоносных команд на TPM 2.0, прошивка которого основана на уязвимой эталонной реализации TCG.

Обнаружение и сообщение о проблемах в ноябре 2022 года приписывают ИБ-компании Quarkslab. Quarkslab Для просмотра ссылки Войди или Зарегистрируйся , что крупные поставщики, организации, использующие корпоративные компьютеры, серверы, IoT-устройства и встроенные системы, включающие TPM, потенциально могут быть затронуты этими ошибками. Эксперты отмечают, недостатки «могут затронуть миллиарды устройств».

TPM — криптопроцессор, обеспечивающий безопасные криптографические функции и механизмы физической безопасности для защиты от попыток несанкционированного доступа. Microsoft Для просмотра ссылки Войди или Зарегистрируйся , что наиболее распространенные функции TPM используются для измерения целостности системы, а также для создания и использования ключей. Во время загрузки системы загружаемый загрузочный код (включая встроенное ПО и компоненты ОС) может быть измерен и записан в TPM.

Консорциум TCG отметил, что недостатки являются результатом отсутствия необходимых проверок длины строк, что приводит к переполнению буфера и потенциально может открыть путь для локального раскрытия информации или повышения привилегий.

Пользователям рекомендуется Для просмотра ссылки Войди или Зарегистрируйся выпущенные TCG и другими поставщиками, для устранения недостатков и снижения рисков для цепочки поставок. Пользователям в высоконадежных вычислительных средах следует рассмотреть возможность использования удаленной аттестации TPM для обнаружения любых изменений в устройствах и обеспечения защиты их TPM от несанкционированного доступа.