Säkerhetsforskare vid Quarklabs har upptäckt två nya sårbarheter i TPM 2.0: CVE-2023-1017 och CVE-2023-1018, rapporterar Bleeping Computer.
TPM eller Trusted platform module är ett chipp som används för identifiering i säkerhetsystemet Trusted computing. Chippet byggs in i datorer och andra enheter och varje chipp har ett eget ID-nummer som inte kan ändras. Ägaren aktiverar chippet med en pin-kod eller på annat sätt varje gång enheten startar.
De nya sårbarheterna skulle kunna påverka miljarder enheter och bland annat användas av anfallare för att stjäla kryptografiska nycklar. För att utnyttja bristen behövs autentiserad lokal tillgång till en enhet, vilket skulle kunna ske genom exempelvis vissa skadeprogram.
För att lösa det hela behöver påverkade återförsäljare använda en av följande åtgärdade versioner:
- TPM 2.0 v1.59 Errata version 1.4 eller senare
- TPM 2.0 v1.38 Errata version 1.13 eller senare
- TPM 2.0 v1.16 Errata version 1.6 eller senare
Än så länge är Lenovo den enda stora originalutrustningstillverkaren (OEM) som utfärdat en säkerhetsvarning för de två TPM-sårbarheterna.
