Il TPM è una tecnologia basata su hardware che fornisce funzioni crittografiche sicure ai sistemi operativi dei computer moderni, proteggendoli dalle manipolazioni.
A novembre 2022, i ricercatori della Quarkslab, scoprirono difetti nelle revisioni 1.59, 1.38 e 1.16 del codice di implementazione di riferimento del modulo dai.
L’azienda ha concluso un processo di divulgazione coordinato con il CERT Coordination Center e il Trusted Computing Group (TCG), che produce la documentazione della libreria TPM 2.0.
I difetti si verificano durante la gestione di comandi TPM 2.0 dannosi con parametri crittografati nella funzione ‘CryptParameterDecryption’ definita nel documento TCG.
La prima delle due vulnerabilità (CVE-2023-1018) consiste in un errore di lettura out-of-bound, mentre la seconda (CVE-2023-1017) è descritta come una scrittura out-of-bounds. Questi problemi possono essere attivati da applicazioni in modalità utente, le quali inviano comandi dannosi a un TPM 2.0 che utilizza firmware basato su un’implementazione di riferimento TCG vulnerabile.
Tali difetti permettono di accedere in modalità di sola lettura ai dati sensibili (CVE-2023-1018) o sovrascrivere (CVE-2023-1017) i dati protetti disponibili esclusivamente per il TPM, come ad esempio le chiavi crittografiche.
Il Trusted Computing Group ha già pubblicato le correzioni.
I fornitori coinvolti possono risolvere i problemi passando a una delle seguenti versioni corrette della specifica:
Lenovo ha pubblicato un avviso di sicurezza sui due difetti del TPM, segnalando che CVE-2023-1017 colpisce alcuni dei suoi sistemi che utilizzano il chip Nuvoton TPM 2.0.
Anche se le vulnerabilità richiedono l’accesso locale autenticato, il malware eseguito sul dispositivo potrebbe soddisfare tale condizione. Poiché il TPM è uno spazio che dovrebbe essere protetto anche dal malware eseguito sul dispositivo, la gravità di queste vulnerabilità non deve essere sottovalutata.
I consigli per evitare problemi sono di limitare l’accesso fisico ai propri dispositivi ai soli utenti attendibili, di utilizzare solo applicazioni firmate da fornitori affidabili e di applicare gli aggiornamenti del firmware non appena diventano disponibili per i propri dispositivi.
Pur proponendo alcuni passi avanti dal punto di vista tecnico, la console sembra essere destinata…
Alcuni proprietari di immobili, che vivono in California, stanno sfocando le proprie abitazioni su Google…
Negli ultimi anni sono aumentate le truffe online e anche quelle tramite messaggistica: gli imbroglioni…
Dopo il lancio disastroso, il numero di utenti attivi è calato sempre di più e…
Il nostro Paese tra i primi a utilizzare l'intelligenza artificiale nel campo dell'imprenditoria. Ma le…
Definendo un nuovo standard per la privacy nell’AI, Apple Intelligence capisce il contesto personale per…