Quarkslab ընկերության կիբեռանվտանգության փորձագետները Trusted Platform Module (TPM) 2.0 չիպերի աշխատանքում հայտնաբերել են երկու խոցելիություն, որոնք պոտենցիալ վտանգ են ներկայացնում նման չիպեր ունեցող միլիարդավոր համակարգիչների համար, տեղեկացնում է Bleepingcomputer.com-ը։
TPM 2.0 չիպերն սկսվել տեղադրվել համակարգիչների մայր պլատաների վրա 2016 թ․ կեսերից։ Տեխնոլոգիան, ըստ Microsoft-ի, անհրաժեշտ է անվտանգության հետ կապված գործառույթների իրականացման համար. չիպը թույլ է տալիս ստեղծել և պահել գաղտնագրային բանալիներ, ինչպես նաև սահմանափակում է դրանց նկատմամբ մուտքը: TPM 2.0-ը նախատեսված է ապարատային մակարդակում անվտանգություն ապահովելու համար՝ զգալիորեն նվազեցնելով հաքերային հարձակման հավանականությունը:
TPM 2.0 տեխնոլոգիայում հայտնաբերված խոցելիությունները համարակալվեն որպես CVE-2023-1017 և CVE-2023-1018. դրանք թույլ են տալիս համապատասխանաբար ձայնագրել և կարդալ տվյալները հատկացված բուֆերից դուրս: Սխալն առաջանում է ExecuteCommand() ֆունկցիային տվյալներ փոխանցելու մեխանիզմի սխալ գործողության պատճառով, ինչը հնարավորություն է տալիս բուֆերային սահմանից դուրս ձայնագրել երկու բայթ ինֆորմացիա։
Trusted Computing Group-ը (TCG), որը պատասխանատու է TPM-ի մշակման համար, զգուշացրել է, որ, ընդհանուր առմամբ, խոցելիության օգտագործումը հաքերներին հնարավորություն է տալիս հասանելիություն ստանալ պաշտպանված տվյալներին, թույլ է տալիս նրանց վերագրանցել այն և մեծացնել համակարգում գործելու իրենց հնարավորություններն ու արտոնությունները:
Սխալը շտկվել է TPM-ի վերջին՝ TPM 2.0 v1.59 Errata 1.4 և ավելի բարձր, v1.38 Errata 1.13 և ավելի բարձր, և v1.16 Errata 1.6 և ավելի բարձր տարբերակներում: Խոցելիությունն ազդել է նաև libtpms գրադարանի վրա, որը նախատեսված է TPM-ի ծրագրային էմուլյացիայի համար։ Սխալը շտկվել է նաև libtpms-ի 0.9.6 տարբերակում: