【悲報】Windows 11の要件でもあるTPM 2.0に脆弱性。数十億台に影響 [737440712]
■ このスレッドは過去ログ倉庫に格納されています
デバイスに対しハードウェア的なセキュリティ機能を提供するTPM 2.0モジュールライブラリに脆弱性2種類(共通脆弱性識別子:CVE-2023-1018、CVE-2023-1017)が見つかった。この脆弱性を悪用すると、サービス拒否またはTPMコンテキストで任意のコードを実行したり、TPMに保存されている機密データにアクセスしたりできるようになる。影響は数十億台規模にのぼる可能性があるという。
この脆弱性は、セキュリティ企業Quarkslabの研究者によって、TPM 2.0の参照ライブラリの仕様の中で発見された。具体的には、TPMコマンドの一部であるパラメータの一部を処理する方法「CryptParameterDecryption()」にルーチンの範囲外(アウトオブバウンド)読み込みの不具合があり、現在のセッションの一部にはない2バイトの読み取りアクセスが可能だったという。
攻撃者は、巧妙に細工されたコマンドをTPMに送信することでバグをトリガーでき、意図した操作の一部ではないデータにアクセスできてしまう。OSはTPMファームウェアのセキュリティ機能に依存しているため、従来のホストベースのセキュリティ機能では検出または困難になる場合があるとしている。
TPM 2.0を策定したTrusted Computing Groupは既にこの問題をエラッタとして認識しており、更新プログラムを提供することで脆弱性に対処する。ユーザーとしては、サプライチェーンを通じ、ハードウェアまたはソフトウェア製造元から更新プログラムをできるだけ早く適用する必要があるとしている。
https://pc.watch.impress.co.jp/docs/news/1483855.html
https://asset.watch.impress.co.jp/img/pcw/docs/1483/855/1_o.jpg ハードウェアからチートできないようにするためのもんにセキュリティホールがあったんじゃなんの意味もないなぁ。 M/BのTPMモジュール交換
fTPMはCPU交換 セキュリティの大前提であるTPMにも穴はあるんだな… アップデートする前にビットロッカー解除し忘れて祭りが始まりそう セキュリティをあげる名目でまだ使えるハードを切り捨てたのに
なんだいこのざまは? 脆弱性ってよく見つかるけど実際これで攻撃されてた人いるの? 大した問題じゃないだろ
インテルのCPU全てに超巨大セキュリティホールがあって何十年も実は好き放題できる状態だったのがバレた事件に比べたらな 旧OSからのアップデートが全然進んでないようだから
これを理由にMSがwindows11や12のアップデートの要件からTPMを外す気じゃないだろうな?
ハードの要件は満たしてるけど、今はUEFIでTPM2.0の機能を外してる?おかげで
起動時にwindows11へのアップデートのウザい案内が俺には来ないでくれてるんだから
そこは変えてくれるなよ proならともかくhomeエディションにTPM制約要らんやろ 中国がTPMを拒否した理由がすでに脆弱性を知っていたからだったりしたら、 Windows11の動作要件からTPM外すか、Windows10を永久に更新し続けろ 脆弱性っていうけど最初から用意しといたバックドアなんだろ? >>29
あいつらがそこまでん頭いいわけないやろが これじゃ第八世代未満のインテルPC捨て値で処分した中古屋がバカみたいじゃないですか!w >>29
全然違う
TPM2.0の暗号化レベル技術は中国には輸出禁止 >>8
ファームウェアのコードが原因だから更新でどうにかなるでしょ ■ このスレッドは過去ログ倉庫に格納されています