>首页> IT >

【全球快播报】可信模块TPM库曝缓冲区溢出提权漏洞,影响数十亿IoT设备

时间:2023-03-06 21:17:49       来源:腾讯网


(资料图片仅供参考)

最近的网络安全研究中,可信平台模块 TPM 2.0 参考库规范中披露了一组严重的安全漏洞,这些漏洞可能会导致信息泄露或权限提升。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,其中1个漏洞 CVE-2023-1017 涉及越界写入,而另一个漏洞 CVE-2023-1018 被描述为越界读取。

这些漏洞可以通过向 TPM 2.0 发送恶意命令从用户模式应用程序触发,TPM 2.0 的固件基于受影响的 TCG(可信计算组)参考实现。

大型技术供应商、使用企业计算机、服务器、物联网设备和包含 TPM 的嵌入式系统的组织可能会受到这些安全漏洞的影响,涉及影响的设备可能超过数十亿台。

TPM 是一种基于硬件的解决方案,即加密处理器,旨在提供安全的加密功能和物理安全机制以防止篡改。最常见的 TPM 功能用于系统完整性检测以及密钥创建和使用,在系统启动过程中,加载的启动代码(包括固件和操作系统组件)可以被检测并记录在 TPM 中。

完整性检测可用作系统启动方式的证据,并确保仅在使用正确的软件启动系统时才使用基于 TPM 的密钥。

极牛攻防实验室表示,本次安全漏洞是由于缺乏必要的长度检查,导致缓冲区溢出,并被用于本地信息泄露或特权提升。

关键词: 可信模块TPM库曝缓冲区溢出提权漏洞 影响数十亿IoT设备