• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Опасные уязвимости в библиотеке TPM 2.0 могут затронуть миллиарды IoT и корпоративных устройств

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

В спецификации справочной библиотеки Trusted Platform Module (TPM) 2.0 были обнаружены две опасные уязвимости, которые потенциально могут привести к раскрытию информации или повышению привилегий.
  • Уязвимость записи за пределами допустимого диапазона CVE-2023-1017;
  • Уязвимость чтения за пределами допустимого диапазона CVE-2023-1018.
В бюллетене Trusted Computing Group (TCG) говорится, что эти уязвимости могут быть вызваны из приложений пользовательского режима путем отправки вредоносных команд на TPM 2.0, прошивка которого основана на уязвимой эталонной реализации TCG.

Обнаружение и сообщение о проблемах в ноябре 2022 года приписывают ИБ-компании Quarkslab. Quarkslab отмечает, что крупные поставщики, организации, использующие корпоративные компьютеры, серверы, IoT-устройства и встроенные системы, включающие TPM, потенциально могут быть затронуты этими ошибками. Эксперты отмечают, недостатки «могут затронуть миллиарды устройств».

TPM — криптопроцессор, обеспечивающий безопасные криптографические функции и механизмы физической безопасности для защиты от попыток несанкционированного доступа. Microsoft объясняет, что наиболее распространенные функции TPM используются для измерения целостности системы, а также для создания и использования ключей. Во время загрузки системы загружаемый загрузочный код (включая встроенное ПО и компоненты ОС) может быть измерен и записан в TPM.

Консорциум TCG отметил, что недостатки являются результатом отсутствия необходимых проверок длины строк, что приводит к переполнению буфера и потенциально может открыть путь для локального раскрытия информации или повышения привилегий.

Пользователям рекомендуется применять обновления, выпущенные TCG и другими поставщиками, для устранения недостатков и снижения рисков для цепочки поставок. Пользователям в высоконадежных вычислительных средах следует рассмотреть возможность использования удаленной аттестации TPM для обнаружения любых изменений в устройствах и обеспечения защиты их TPM от несанкционированного доступа.
 
Сверху