网络安全公司Quarkslab在TPM 2.0库中发现了两个新漏洞,这让安全专家感到担忧,因为这两个漏洞都有潜在的深远影响。这两个漏洞位于 CVE-2023-1017 和 CVE-2023-1018 的 CVE 标识符下,其中第一个漏洞允许越界写入,而第二个漏洞允许越界读取,也称为缓冲区溢出漏洞。这本身可能听起来并不特别令人担忧,但由于两者都可以从用户模式应用程序触发,因此它们非常重要,因为它可以将恶意命令发送到 TPM 2.0 模块,从而可能使恶意软件安装在带有 TPM 2.0 模块的设备上。
根据Quarkslab的说法,数十亿设备可能会受到影响,因为TPM 2.0身份验证模块用于从服务器到物联网设备的所有领域,并且近十年来一直是主要的基于硬件的加密解决方案。使用这些漏洞的攻击者必须知道他们在做什么才能利用 TPM 2.0 中的这两个缺陷,但由于它依赖于 TPM 命令界面,如果有人获得了对相关系统的用户访问权限,则没有简单的方法来防止攻击。负责TPM标准的可信计算组(TCG)已经发布了勘误表,其中包括有关如何解决这两个漏洞的说明,我们希望看到所有主要硬件供应商的更新。