The Hacker News 網(wǎng)站消息，可信平臺模塊 ( TPM ) 2.0 參考庫規(guī)范中爆出一個嚴重安全漏洞，這些漏洞可能會導(dǎo)致設(shè)備信息泄露或權(quán)限提升。

漏洞或影響數(shù)十億物聯(lián)網(wǎng)設(shè)備

2022 年 11 月，網(wǎng)絡(luò)安全公司 Quarkslab 發(fā)現(xiàn)并報告漏洞問題，其中一個漏洞被追蹤為 CVE-2023-1017（涉及越界寫入），另一個漏洞追蹤為 CVE-2023-1018（可能允許攻擊者越界讀?。?。

Quarkslab 指出，使用企業(yè)計算機、服務(wù)器、物聯(lián)網(wǎng)設(shè)備、TPM 嵌入式系統(tǒng)的實體組織以及大型技術(shù)供應(yīng)商可能會受到這些漏洞的影響，并一再強調(diào)，漏洞可能會影響數(shù)十億設(shè)備。

可信平臺模塊 (TPM)

可信平臺模塊 (TPM) 技術(shù)是一種基于硬件的解決方案，可為現(xiàn)代計算機上的操作系統(tǒng)提供安全的加密功能，使其能夠抵抗篡改。

微軟表示，最常見的 TPM 功能用于系統(tǒng)完整性測量以及密鑰創(chuàng)建和使用，在系統(tǒng)啟動過程中，可以測量加載的啟動代碼（包括固件和操作系統(tǒng)組件）并將其記錄在 TPM 中，完整性測量值可用作系統(tǒng)啟動方式的證據(jù)，并確保僅在使用正確的軟件啟動系統(tǒng)時才使用基于 TPM 的密鑰。

可信計算組織（TCG）

漏洞事件發(fā)酵后，可信計算組織（簡稱：TCG，由 AMD、惠普、IBM、英特爾和微軟組成）指出，由于缺乏必要的檢查，出現(xiàn)漏洞問題，最終或引起本地信息泄露或權(quán)限升級。

CERT 協(xié)調(diào)中心（CERT/CC）在一份警報中表示，受影響的用戶應(yīng)該考慮使用 TPM 遠程驗證來檢測設(shè)備變化，并確保其 TPM 防篡改。

最后，安全專家建議用戶應(yīng)用 TCG 以及其它供應(yīng)商發(fā)布的安全更新，以解決這些漏洞并減輕供應(yīng)鏈風(fēng)險。