Sicherheitsforscher von Quarkslab habe zwei Schwachstellen in den Spezifikationen für Trusted Platform Module 2.0 (TPM) entdeckt. Beide Sicherheitslücken basieren auf Pufferüberläufen. Angreifer können unter Umständen vertrauliche Daten wie kryptografische Schlüssel auslesen oder überschreiben.
TPM-Module gelten eigentlich als manipulationssicher. Sie werden zur Speicherung kryptografischer Schlüssel und anderer sicherheitsrelevanter Daten benutzt. Außerdem bilden sie die Grundlage für Sicherheitsfunktionen wie Secure Boot und Windows Defender System Guard. Microsoft setzt zudem TPM 2.0 für den Einsatz von Windows 11 voraus.
Wie BleepingComputer berichtet, treten die Fehler bei der Verarbeitung bestimmter TPM-Befehle auf. Ein authentifizierter lokaler Nutzer ist somit in der Lage, bösartige Befehle innerhalb des Trusted Platform Module auszuführen. Einer Sicherheitswarnung der Trusted Computing Group zufolge, die die TPM-Spezifikationen entwickelt und verwaltet, kann dies nicht nur zu einer Preisgabe vertraulicher Informationen führen. Demnach ist auch eine nicht autorisierte Ausweitung von Benutzerrechten möglich.
Nach Auskunft des CERT haben bisher erst wenige Anbieter von TPM-Chips bestätigt, dass sie von den Sicherheitslücken betroffen sind. Behoben werden die Fehler mit den Spezifikationen TPM 2.0 v1.59 Errata Version 1.4 oder höher, TMP 2.0 v1.38 Errata Version 1.13 oder höher sowie TPM 2.0 v1.16 Errata Version 1.6 oder höher.
Dem Bericht zufolge ist Lenovo der bisher einzige große Gerätehersteller, der eine eigene Sicherheitswarnung veröffentlicht hat. Nach Angaben des Unternehmens sind einige seiner Produkte angreifbar, in denen ein TPM-2.0.Chip von Nuvoton verbaut ist.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…