【セキュリティ】Windows 11の要件でもあるTPM 2.0に脆弱性。数十億台に影響
-
デバイスに対しハードウェア的なセキュリティ機能を提供するTPM 2.0モジュールライブラリに脆弱性2種類(共通脆弱性識別子:CVE-2023-1018、CVE-2023-1017)が見つかった。この脆弱性を悪用すると、サービス拒否またはTPMコンテキストで任意のコードを実行したり、TPMに保存されている機密データにアクセスしたりできるようになる。影響は数十億台規模にのぼる可能性があるという。
この脆弱性は、セキュリティ企業Quarkslabの研究者によって、TPM 2.0の参照ライブラリの仕様の中で発見された。具体的には、TPMコマンドの一部であるパラメータの一部を処理する方法「CryptParameterDecryption()」にルーチンの範囲外(アウトオブバウンド)読み込みの不具合があり、現在のセッションの一部にはない2バイトの読み取りアクセスが可能だったという。
攻撃者は、巧妙に細工されたコマンドをTPMに送信することでバグをトリガーでき、意図した操作の一部ではないデータにアクセスできてしまう。OSはTPMファームウェアのセキュリティ機能に依存しているため、従来のホストベースのセキュリティ機能では検出または困難になる場合があるとしている。
TPM 2.0を策定したTrusted Computing Groupは既にこの問題をエラッタとして認識しており、更新プログラムを提供することで脆弱性に対処する。ユーザーとしては、サプライチェーンを通じ、ハードウェアまたはソフトウェア製造元から更新プログラムをできるだけ早く適用する必要があるとしている。
Impress
2023年3月7日 13:17
- き、脆弱性
-
11は元からゴミだったがこんな爆弾まで抱えてたのか
踏んだり蹴ったりだなID: Ygs1r+nj0.net - き・・・脆弱性
- (´・ω・`) 「おまいらはどうせまだ、Windows10だろ」
- これだから人柱になりたくねーんだよ!!
-
これさ
脆弱性対応マザーやモジュールに買い替えか?
モジュールなら差し替えればそれで済みそうだけど
マザーは、面倒くさいわ - イット!.www意識高い!
-
こないだレッツノート起動したら11使えるけどどうするって聞かれて
ああやってやるさ!って進んだらスンて何も起こらなかった
なんやったんやあれ -
マザーボードメーカーが出してる純正のTPMモジュールは高いのに
中華のTPMはえらく安いのはこういう脆弱性を利用してるんかね? -
暗号化というやり方から別の方式に変えないとイタチごっこな気がする
暗号化方式が変わるたびに仕様が変わりその仕様に対する非対応機種が発生し
また構築からやり直す必要があるのは社会にとって結構な損失では? - エラッタって何だよ?
-
脆弱なんていう難しい漢字を使うからスレが伸びないんだぞ
俺達を舐めるな! -
これだからマイクロソフトは駄目なんだよ
やっぱり日本の会社がOS作らないとな
ソニーさんやっちゃってください! -
オレのマシンは8.1から10まで成り上がったけど
ハードが古すぎて11に出世できなかったんだわID: Ksbk+A4r0.net -
このまま推移すると、パソコンの性能はセキュリティに大半取られる事になるだろう。性能99%はセキュリティ対策に費やされ、セキュリティ対策の為に恐ろしい程重いアプリをみな動かす辛くイライラな社会になる。突破される事を前提に、突破されても、更に突破されても、次のセキュリティが待ち受ける多重セキュリティシステム。何個もインストールされたセキュリティソフト。エンドポイントセキュリティ時代の幕開けだな。
何でもかんでも、くっそ重くなるぞ。 - セキュリティ強化するためにハードのハードル上げても仕方ない
-
こういうのってハードウェアを交換する必要があるの?
それともファームウェアの更新で済むものなの? - 俺まだ10だけど関係ある?
- じゃあ11にアップデートできないって告知されてる10パソコンは大丈夫?
引用元:https://ai.2ch.sc/test/read.cgi/newsplus/1678181603/l1000
11関係あるか?TPM2.0側の問題だから修正はファームだろう。