轉載「新發現 2 個 TPM 2.0 漏洞，可讓駭侵者竊取 PC 主機上的加密金鑰」訊息

 【軟硬體漏洞資訊】

💻💻💻新發現 2 個 TPM 2.0 漏洞，可讓駭侵者竊取 PC 主機上的加密金鑰🔑🔑🔑

資安廠商 Quarkslab 旗下的資安研究人員，近日發現 PC 主機板上的硬體安全機制 TPM 2.0 含有兩個安全漏洞，可讓駭侵者取得電腦中如加密金鑰之類的機敏資料，甚至加以覆寫。

Quarkslabs 發現的這兩個漏洞，分別為 CVE-2023-1017 與 CVE-2023-1018；CVE-2023-1017 屬於越界讀取漏洞，而 CVE-2023-1018 則是越界寫入漏洞。這兩個漏洞都源自某些 TPM 指令在進行參數特殊處理的錯誤，可讓未經授權的本地攻擊者以發送特製指令的方式，誘發這兩個漏洞發生錯誤，進而透過 TPM 來執行程式碼，藉以竊得機敏資訊，甚至提高執行權限。

開發 TPM 機制的 Trusted Computing Group 組織，針對這兩個漏洞推出新版 TPM 標準，分別如下：

• TMP 2.0 v1.59 Errata 1.4 或後續版本
• TMP 2.0 v1.38 Errata 1.13 或後續版本
• TMP 2.0 v1.16 Errata 1.6 或後續版本

解決方案：建議用戶應儘量避免讓不明人士操作主機，且僅使用具備可信賴原廠安全簽章的應用程式，並在主機製造商推出新版韌體時立即更新。

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-6977-dd714-1.html