ZV

00:00:00

Автор Тема: Угроза для миллиардов компьютеров: в TPM 2.0 обнаружили опасные уязвимости  (Прочитано 198 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • Супер-Модератор
  • ****
  • ru

<---Информация--->

  • Сообщений: 22904
  • Регистрация: 19-12-2014
  • Возраст: 122
  • Расположение: Россия
  • Спасибо за пост:
  • -Сказал(а) спасибо: 28816
  • -Поблагодарили: 35858
  • Награды За 10 000 сообщений Супермодер Модератор форума Новостнику форума Ключнику форума За помощь форуму За помощь форуму За активную помощь форуму За активность в разделе Киноиндустрия За рекламу форума в других ресурсах Журналисту форума От души Дополнительная Золотая Дополнительная Серебряная medal-red-gold
    • Награды
https://3dnews.ru/assets/external/illustrations/2023/03/07/1083009/tpm.jpg

                         
Угроза для миллиардов компьютеров: в TPM 2.0 обнаружили опасные уязвимости

Эксперты по кибербезопасности из компании Quarkslab обнаружили две уязвимости в реализации Trusted Platform Module (TPM) 2.0, создающие потенциальную угрозу для миллиардов компьютеров с такими чипами.

Чипы TPM 2.0 устанавливаются на материнские платы компьютеров с середины 2016 года. Технология, уточняют в Microsoft, необходима для реализации функций, связанных с безопасностью — чип позволяет генерировать и хранить криптографические ключи, а также ограничивать к ним доступ. TPM 2.0 призвана обеспечивать безопасность на аппаратном уровне, значительно снижая вероятность взлома.

Обнаруженные в эталонной реализации технологии TPM 2.0 уязвимости получили номера CVE-2023-1017 и CVE-2023-1018 — они позволяют соответственно записывать и читать данные за пределами выделенного буфера. Фактические масштабы угрозы для подверженных уязвимостям машин зависят от их производителей.

Ошибка вызвана некорректной работой механизма передачи данных в функцию ExecuteCommand(), из-за чего становится возможной запись двух байтов за границей буфера. Ответственная за разработку спецификации TPM организация Trusted Computing Group (TCG) предупредила (PDF), что в общем случае эксплуатация уязвимостей открывает злоумышленникам доступ к защищённой информации, позволяет её перезаписывать и повышать свои привилегии в системе.

Ошибка исправлена в свежих версиях спецификации: TPM 2.0 v1.59 Errata 1.4 и выше, v1.38 Errata 1.13 и выше, а также v1.16 Errata 1.6 и выше. Уязвимости коснулись также библиотеки libtpms, предназначенной для программной эмуляции TPM — ошибка исправлена в версии libtpms 0.9.6.

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.