The Hacker News 网站消息,可信平台模块 ( TPM ) 2.0 参考库规范中爆出一个严重安全漏洞,这些漏洞可能会导致设备信息泄露或权限提升。
Quarkslab 指出,使用企业计算机、服务器、物联网设备、TPM 嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响,并一再强调,漏洞可能会影响数十亿设备。
微软表示,最常见的 TPM 功能用于系统完整性测量以及密钥创建和使用,在系统启动过程中,可以测量加载的启动代码(包括固件和操作系统组件)并将其记录在 TPM 中,完整性测量值可用作系统启动方式的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。
CERT 协调中心(CERT/CC)在一份警报中表示,受影响的用户应该考虑使用 TPM 远程验证来检测设备变化,并确保其 TPM 防篡改。
最后,安全专家建议用户应用 TCG 以及其它供应商发布的安全更新,以解决这些漏洞并减轻供应链风险。
参考文章:
https://thehackernews.com/2023/03/new-flaws-in-tpm-20-library-pose-threat.html
精彩推荐