首页 > 其他分享 >TPM 2.0 漏洞对数十亿物联网和企业设备构成威胁

TPM 2.0 漏洞对数十亿物联网和企业设备构成威胁

时间:2023-03-04 10:12:04浏览次数:36  
标签:TPM 数十亿 漏洞 TCG 2.0 设备

近日,可信平台模块 ( TPM ) 2.0 参考库规范中披露了一个严重的安全缺陷,这些缺陷可能会导致信息泄露或权限提升。

其中一个漏洞CVE-2023-1017涉及越界写入,而另一个漏洞CVE-2023-1018被描述为越界读取。网络安全公司 Quarkslab 在 2022 年 11 月发现并报告了这些问题。

“这些漏洞可以通过向 TPM 2.0 发送恶意命令从用户模式应用程序触发,TPM 2.0 的固件基于受影响的 TCG 参考实现,”可信计算组 (TCG) 在一份公告中表示。

国际知名白帽黑客、东方联盟创始人郭盛华透露,大型技术供应商、使用企业计算机、服务器、物联网设备和包含 TPM 的嵌入式系统的组织可能会受到这些缺陷的影响,并补充说它们“可能会影响数十亿台设备” 。

TPM 是一种基于硬件的解决方案(即加密处理器),旨在提供安全的加密功能和物理安全机制以抵御篡改。

“最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用,”微软在其文档中说。“在系统启动过程中,加载的启动代码(包括固件和操作系统组件)可以被测量并记录在 TPM 中。”

“完整性测量可用作系统启动方式的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。”

TCG 联盟(可信计算组织,是由AMD、惠普、IBM、英特尔和微软组成的一个组织)指出,缺点是缺乏必要的长度检查,导致缓冲区溢出,可能为本地信息泄露或特权升级铺平道路。

建议用户应用TCG 以及其他供应商发布的更新来解决漏洞并降低供应链风险。

“高保证计算环境中的用户应考虑使用 TPM 远程证明来检测设备的任何更改并确保其 TPM 是防篡改的,”CERT 协调中心 (CERT/CC) 在警报中表示。(欢迎转载分享)

标签:TPM,数十亿,漏洞,TCG,2.0,设备
From: https://www.cnblogs.com/hacker520/p/17177678.html

相关文章

  • 代码随想录算法训练营第四天 | 24. 两两交换链表中的节点、19.删除链表的倒数第N个节
    24.两两交换链表中的节点-力扣(LeetCode)给你一个链表,两两交换其中相邻的节点,并返回交换后链表的头节点。你必须在不修改节点内部的值的情况下完成本题(即,只能进行节点交......
  • 每日记录(十)2022.03.02
    今天学了很多,主要有网页的制作,但是不太熟练,明天继续    今天吃了铁板炒饭,味道还行,,我觉得那个鸡蛋还可以加点味道,不然不太好吃。晚上吃了麻辣烫,我发现学二食堂的麻......
  • Stackable 是 Threaded 的一个别称,直到 pthreads v.2.0.0
    /***StackableisanaliasofThreaded.Thisclassnamewasusedinpthreadsuntil*version2.0.0*@link​​​http://www.php.net/manual/en/class.threaded......
  • DockQuery 天狼 v1.2.0 正式发布
    DockQuery天狼经过2022年的孵化,于2022年年底发布了第一个版本。在春回大地万象更新之际,DockQuery发布了1.2.0版本,也是我们公开招募第一批产品体验官的版本。在这个......
  • AWS Ubuntu22.04安装Mysql及配置远程连接
    一、升级apt资源包sudoaptupdate二、安装MySQLsudoaptinstallmysql-server三、启动MySQL服务sudoservicemysqlstart四、登录MySql查看MySql用户名/密码su......
  • 【3】有道云测试任务1-v1.0-v2.0-v3.0
        work1_install_remove.py#用面向对象的思想实现安装卸载的自动化测试V1.0#导入appium类库fromappium.webdriver.webdriverimportWebDriverimporttimeimp......
  • Ubuntu 22.04部署小记
    又快到了阿里云的续费时间,由于工作内容的变化,除了rss阅读外,之前大部分使用的服务目前已不再使用,近期好哥们为我免费提供了一台消费级虚拟机用于替代付费云主机,初步评估也能......
  • 2.0-接口测试--postman总结篇
    Postman基础用法1、请求中常见的数据传递格式​ form表单数据示意图:案例1:提交字符串数据需求:1.访问TPshop搜索商品的接口,通过查询字符串的方式传递搜索的关键字i......
  • openEuler22.09初始化脚本
    #!/bin/bashs=`nmclid|grep"已断开"|awk'{print$1}'`echo/etc/sysconfig/network-scripts/ifcfg-$ssed-i"s/^ONBOOT=.*$/ONBOOT=yes/"/etc/sysconfig/netwo......
  • 【2】APP自动化-脚本研发2.0-3.0需要重复看视频
                calculatorV1.0.py#V1.0实现手机端计算器自动化测试:使用常量进行参数传递#导入appium类库fromappium.webdriver.webdriverimport......