A TPM 2.0 sérülékenységei
A Trusted Platform Module (TPM) 2.0-s verziójában két különálló biztonsági rést találtak, amelyek az IoT eszközöket nagy mértékben érinthetik. Alapvetően a TPM egy hardver alapú technológia, amely biztonságos kriptográfiai funkciókat biztosít a modern számítógépek operációs rendszerei számára. A feltárt hibák a rosszindulatú TPM 2.0 parancsok titkosított paraméterekkel történő kezelése során jelentkeztek. Mindkettő a `CryptParameterDecryption` függvényben van, amely a TCG dokumentumban van definiálva. A sérülékenységek közül az első (CVE-2023-1018) határon kívüli olvasási hiba, míg a második (CVE-2023-1017) határokon kívüli írási hiba.
A sérülékenységet a Quarks Lab biztonsági kutatói fedezték fel novemberben. A hét elején a vállalat összehangolt közzétételi folyamatot zárt le a CERT Koordinációs Központtal és a Trusted Computing Grouppal (TCG). Ez utóbbi cég a TPM 2.0 Library dokumentációjának kiadója.
A CERT tanácsa szerint a hibák csak olvasási hozzáférést tesznek lehetővé érzékeny adatokhoz (CVE-2023-1018) vagy felülírják (CVE-2023-1017) a csak a TPM-nek elérhető védett adatokat, például a kriptográfiai kulcsokat.
A CERT szerint a rendszerek biztonságának biztosítása érdekében a felhasználóknak a lehető leghamarabb alkalmazniuk kell a hardver- és szoftvergyártók által biztosított frissítéseket az ellátási láncukon keresztül.