Κενά ασφαλείας στο TPM 2.0 ενδέχεται να θέτουν σε κίνδυνο εκατομμύρια συσκευές και υπολογιστές
Ερευνητές κυβερνοασφάλειας της Quarkslab ανακάλυψαν δύο ευπάθειες στο Trusted Platform Module (TPM) 2.0 που θα μπορούσαν να θέσουν σε κίνδυνο εκατομμύρια συσκευές και υπολογιστές σε όλον τον κόσμο.
Να θυμίσουμε ότι το TPM 2.0 είναι ένα εξειδικευμένο chip ασφαλείας. Πρόκειται για έναν ασφαλή κρυπτο-επεξεργαστή που βοηθάει με διάφορες λειτουργίες, όπως με τη παραγωγή κρυπτογραφικών κλειδιών, την αποθήκευση τους ή τον περιορισμό της χρήσης τους. Πρόκειται για ένα tamper-resistant chip ασφαλείας
Τώρα όμως, έρχονται οι ερευνητές Francisco Falcon και Ivan Arce, να ανακαλύψουν δύο ευπάθειες, τις out-of-bounds read (CVE-2023-1017) και out-of-bounds write (CVE-2023-1018), οι οποίες θα μπορούσαν να επιτρέψουν σε επιτιθέμενους να κλιμακώσουν διαπιστευτήρια σε προνομιακά (π.χ. διαχειριστή) και να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες σε ευάλωτα τερματικά (endpoints). Σύμφωνα με την ιστοσελίδα BleepingComputer, το CERT Coordination Center κοινοποίησε μία προειδοποίηση για τις δύο ευπάθειες, ισχυριζόμενο ότι ειδοποιεί εδώ και μήνες κατασκευαστές και προμηθευτές, ωστόσο έχει διαπιστωθεί ότι δεν επηρεάζονται από τα ζητήματα παρά ελάχιστοι από αυτούς.
«Ένας εισβολέας που έχει πρόσβαση στο command interface του TPM μπορεί μέσω κακόβουλων εντολών στη μονάδα να ενεργοποιήσει τις συγκεκριμένες ευπάθειες» προειδοποίησε το CERT. Και αυτό, είτε επιτρέπει την read-only πρόσβαση σε ευαίσθητα δεδομένα είτε την επανεγγραφή/αντικατάσταση δεδομένων που κανονικά θα ήταν προστατευμένα και διαθέσιμα μόνο στο TPM (π.χ. κρυπτογραφικά κλειδιά).
Όσοι οργανισμοί ανησυχούν για τις παραπάνω ευπάθειες, θα πρέπει να μεταβούν σε κάποια από τις επιδιορθωμένες εκδόσεις του TPM:
TMP 2.0 v1.59 Errata έκδοση 1.4 ή νεότερηTMP 2.0 v1.38 Errata έκδοση 1.13 ή νεότερηTMP 2.0 v1.16 Errata έκδοση 1.6 ή νεότερηΗ εταιρεία Lenovo είναι η μόνη, από τις μεγάλες εταιρείες, που έχει δημοσιεύσει μία συμβουλή ασφαλείας σχετικά με τα παραπάνω ελαττώματα. Ελπίζουμε και άλλοι κατασκευαστές υπολογιστών desktop και notebooks να ακολουθήσουν σύντομα το παράδειγμα της. Για να αξιοποιήσει ένας παράγοντας απειλής τις ευπάθειες, θα πρέπει να έχει πιστοποιημένη πρόσβαση σε μια συσκευή. Ωστόσο, οποιοδήποτε κακόβουλο λογισμικό εκτελείται ήδη στο τερματικό καλύπτει αυτή τη προϋπόθεση, προειδοποιούν οι ερευνητές.
Διαβάστε ολόκληρο το άρθρο
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Δημοφιλέστερες Ειδήσεις Insomnia
- Τελευταία Νέα Insomnia
- Κενά ασφαλείας στο TPM 2.0 ενδέχεται να θέτουν σε κίνδυνο εκατομμύρια συσκευές και υπολογιστές
- Νέο κίτρινο χρώμα για τα iPhone 14 και iPhone 14 Plus
- 3 στον αέρα Podcast S06E27: MWC 2023, Vodafone, Euroleague και...Ookla
- Η Microsoft θα παρουσιάσει λεπτομερώς το "μέλλον της εργασίας με την Τεχνητή Νοημοσύνη" στις 16 Μαρτίου
- Η Samsung λέγεται πως αναπτύσσει τους δικούς της επεξεργαστές Galaxy για τα laptop της
- Το Nokia G22 δίνει έμφαση στην κατασκευή του από τον ίδιο τον κάτοχό του
- Νέα τεχνικά προβλήματα για το Twitter
- Με μεγάλη αντοχή, το CAT S75 διαθέτει και δυνατότητα αποστολής και λήψης δορυφορικών μηνυμάτων
- Η Intel φέρεται να αναβάλλει την παραγγελία της στη TSMC για τους Arrow Lake επεξεργαστές για το 4ο τρίμηνο του 2024
- Διαρροή αποκαλύπτει τα μικρότερα πλαίσια που θα διαθέτει το iPhone 15 Pro γύρω από την οθόνη
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Η Apple ανακοίνωσε κίτρινο iPhone 14 και iPhone 14 Plus
- Ανακοινώθηκε η ημερομηνία έναρξης της δεύτερης σεζόν για το Chapter 4 του Fortnite
- Στη δημοσιότητα στοιχεία των cheaters του Escape from Tarkov
- Νέο ρεκόρ τηλεθέασης σημείωσε το όγδοο επεισόδιο του The Last of Us
- Το WhatsApp συμφωνεί να διευκολύνει την απόρριψη ενημερώσεων της εφαρμογής
- Η Sonos ανανεώνει τη σειρά ηχείων της με το Era 300 που προσφέρει χωρικό ήχο
- The Lamplighters League: Indiana Jones + Xcom
- Ελάχιστο το ποσοστό των παικτών του Call of Duty που θα μετακινούνταν από το PlayStation στο Xbox, δηλώνει η Microsoft
- Redfall: Κυνήγι βαμπίρ με cross-play
- Τα Google Drive, Docs, Sheets και Slides αποκτούν νέα εμφάνιση
