ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡರೆ, ಈ ನ್ಯೂನತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅಥವಾ ಸಾಮಾನ್ಯವಾಗಿ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು
ಇತ್ತೀಚೆಗೆ ಅವರು ಎರಡು ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ ಎಂದು ಸುದ್ದಿ ಮುರಿಯಿತು (ಈಗಾಗಲೇ CVE-2023-1017, CVE-2023-1018) ಅಡಿಯಲ್ಲಿ ಕೋಡ್ನಲ್ಲಿ ಉಲ್ಲೇಖದ ಅನುಷ್ಠಾನದೊಂದಿಗೆ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ TPM 2.0 ವಿವರಣೆ (ವಿಶ್ವಾಸಾರ್ಹ ವೇದಿಕೆ ಮಾಡ್ಯೂಲ್).
ದೋಷಗಳು ಪತ್ತೆಯಾಗಿವೆ ಗಮನಾರ್ಹವಾಗಿವೆ, ಏಕೆಂದರೆ ಅವು ಹಂಚಿಕೆಯಾದ ಬಫರ್ನ ಮಿತಿಯ ಹೊರಗೆ ಡೇಟಾವನ್ನು ಬರೆಯಲು ಅಥವಾ ಓದಲು ಕಾರಣವಾಗುತ್ತವೆ. ದುರ್ಬಲ ಕೋಡ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಕ್ರಿಪ್ಟೋಪ್ರೊಸೆಸರ್ ಅಳವಡಿಕೆಗಳ ಮೇಲಿನ ದಾಳಿಯು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀಗಳಂತಹ ಚಿಪ್ ಬದಿಯಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಮಾಹಿತಿಯ ಹೊರತೆಗೆಯುವಿಕೆ ಅಥವಾ ಮೇಲ್ಬರಹಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು.
TPM ಕಮಾಂಡ್ ಇಂಟರ್ಫೇಸ್ಗೆ ಪ್ರವೇಶ ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತವಾಗಿ ರಚಿಸಲಾದ ಆಜ್ಞೆಗಳನ್ನು ಮಾಡ್ಯೂಲ್ಗೆ ಕಳುಹಿಸಬಹುದು ಮತ್ತು ಈ ದೋಷಗಳನ್ನು ಪ್ರಚೋದಿಸಬಹುದು. ಇದು ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಓದಲು-ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ ಅಥವಾ TPM ಗೆ ಮಾತ್ರ ಲಭ್ಯವಿರುವ ಸಾಮಾನ್ಯವಾಗಿ ಸಂರಕ್ಷಿತ ಡೇಟಾದ ಓವರ್ರೈಟಿಂಗ್ (ಉದಾಹರಣೆಗೆ, ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀಗಳು).
ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಆಕ್ರಮಣಕಾರರು ಡೇಟಾವನ್ನು ತಿದ್ದಿ ಬರೆಯುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಬಳಸಬಹುದು TPM ಫರ್ಮ್ವೇರ್ನಲ್ಲಿ TPM ಸನ್ನಿವೇಶದಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಆರ್ಕೆಸ್ಟ್ರೇಟ್ ಮಾಡಲು, ಉದಾಹರಣೆಗೆ, TPM ಬದಿಯಲ್ಲಿ ಕೆಲಸ ಮಾಡುವ ಮತ್ತು OS ನಿಂದ ಪತ್ತೆಹಚ್ಚದ ಹಿಂಬಾಗಿಲುಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಇದನ್ನು ಬಳಸಬಹುದು.
TPM (ವಿಶ್ವಾಸಾರ್ಹ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಮಾಡ್ಯೂಲ್) ನೊಂದಿಗೆ ಪರಿಚಯವಿಲ್ಲದವರಿಗೆ, ಇದು ಹಾರ್ಡ್ವೇರ್-ಆಧಾರಿತ ಪರಿಹಾರವಾಗಿದೆ ಎಂದು ನೀವು ತಿಳಿದಿರಬೇಕು, ಇದು ಆಧುನಿಕ ಕಂಪ್ಯೂಟರ್ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಬಲವಾದ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕಾರ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ, ಇದು ಟ್ಯಾಂಪರಿಂಗ್ಗೆ ನಿರೋಧಕವಾಗಿದೆ.
ದೃಢೀಕರಿಸಿದ ಸ್ಥಳೀಯ ಆಕ್ರಮಣಕಾರರು ಸೂಕ್ಷ್ಮ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುವ ದುರ್ಬಲ TPM ಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಆಜ್ಞೆಗಳನ್ನು ಕಳುಹಿಸಬಹುದು. ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು TPM ಫರ್ಮ್ವೇರ್ನಲ್ಲಿ ಸಂರಕ್ಷಿತ ಡೇಟಾವನ್ನು ತಿದ್ದಿ ಬರೆಯಬಹುದು. ಇದು TPM ನಲ್ಲಿ ಕ್ರ್ಯಾಶ್ ಅಥವಾ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ಗೆ ಕಾರಣವಾಗಬಹುದು. ಆಕ್ರಮಣಕಾರರ ಪೇಲೋಡ್ TPM ಒಳಗೆ ಚಲಿಸುವ ಕಾರಣ, ಗುರಿ ಸಾಧನದಲ್ಲಿನ ಇತರ ಘಟಕಗಳಿಂದ ಅದನ್ನು ಪತ್ತೆ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
ಇತ್ತೀಚಿನ ವರ್ಷಗಳಲ್ಲಿ ಕ್ಲೌಡ್ ಕಂಪ್ಯೂಟಿಂಗ್ ಮತ್ತು ವರ್ಚುವಲೈಸೇಶನ್ ಹೆಚ್ಚು ಜನಪ್ರಿಯವಾಗಿರುವುದರಿಂದ, ಸಾಫ್ಟ್ವೇರ್-ಆಧಾರಿತ TPM ಅಳವಡಿಕೆಗಳು ಸಹ ಜನಪ್ರಿಯತೆಯನ್ನು ಹೆಚ್ಚಿಸಿವೆ. TPM ಅನ್ನು ಅದರ ಹಾರ್ಡ್ವೇರ್ ರೂಪದಲ್ಲಿ ಡಿಸ್ಕ್ರೀಟ್, ಎಂಬೆಡೆಡ್ ಅಥವಾ ಫರ್ಮ್ವೇರ್ TPM ಆಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ವರ್ಚುವಲ್ TPM ಗಳು ಹೈಪರ್ವೈಸರ್ ರೂಪದಲ್ಲಿ ಅಥವಾ ಸಂಪೂರ್ಣವಾಗಿ ಸಾಫ್ಟ್ವೇರ್-ಆಧಾರಿತ TPM ಅನುಷ್ಠಾನದಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿವೆ, ಉದಾಹರಣೆಗೆ, swtpm.
ದೋಷಗಳ ಬಗ್ಗೆ ಪತ್ತೆ, ಇದು ತಪ್ಪಾದ ಗಾತ್ರದ ಪರಿಶೀಲನೆಯಿಂದ ಉಂಟಾಗುತ್ತದೆ ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ CryptParameterDecryption() ಫಂಕ್ಷನ್ನ ನಿಯತಾಂಕಗಳ, ಇದು ಎರಡು ಬೈಟ್ಗಳನ್ನು ಬರೆಯಲು ಅಥವಾ ಓದಲು ಅನುಮತಿಸುತ್ತದೆ ಬಫರ್ನಿಂದ ExecuteCommand() ಕಾರ್ಯಕ್ಕೆ ರವಾನಿಸಲಾಗಿದೆ ಮತ್ತು TPM2.0 ಆಜ್ಞೆಯನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಫರ್ಮ್ವೇರ್ ಅಳವಡಿಕೆಗೆ ಅನುಗುಣವಾಗಿ, ಎರಡು ಬೈಟ್ಗಳನ್ನು ಓವರ್ರೈಟ್ ಮಾಡುವುದರಿಂದ ಬಳಕೆಯಾಗದ ಮೆಮೊರಿ ಮತ್ತು ಡೇಟಾ ಅಥವಾ ಸ್ಟಾಕ್ನಲ್ಲಿರುವ ಪಾಯಿಂಟರ್ಗಳೆರಡನ್ನೂ ಭ್ರಷ್ಟಗೊಳಿಸಬಹುದು.
ಆಜ್ಞೆಗಳನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ TPM ಮಾಡ್ಯೂಲ್ಗೆ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ (ಆಕ್ರಮಣಕಾರರು TPM ಇಂಟರ್ಫೇಸ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು).
ಪ್ರಸ್ತುತ, ಜನವರಿಯಲ್ಲಿ ಬಿಡುಗಡೆಯಾದ TPM 2.0 ವಿವರಣೆಯ ನವೀಕರಣ ಆವೃತ್ತಿಗಳನ್ನು ರವಾನಿಸುವ ಮೂಲಕ ಸಮಸ್ಯೆಗಳನ್ನು ಈಗಾಗಲೇ ಪರಿಹರಿಸಲಾಗಿದೆ (1.59 ದೋಷ 1.4, 1.38 ದೋಷ 1.13, 1.16 ದೋಷ 1.6).
ಮತ್ತೊಂದೆಡೆ, ಇದು ವರದಿಯಾಗಿದೆ libtpms ಓಪನ್ ಸೋರ್ಸ್ ಲೈಬ್ರರಿ, ಇದು TPM ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಪ್ರೋಗ್ರಾಮಿಕ್ ಆಗಿ ಅನುಕರಿಸಲು ಮತ್ತು TPM ಬೆಂಬಲವನ್ನು ಹೈಪರ್ವೈಸರ್ಗಳಾಗಿ ಸಂಯೋಜಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ, ದುರ್ಬಲತೆಯಿಂದ ಕೂಡ ಪ್ರಭಾವಿತವಾಗಿರುತ್ತದೆ. libtpms 0.9.6 ಬಿಡುಗಡೆಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ ಎಂದು ನಮೂದಿಸುವುದು ಮುಖ್ಯವಾದರೂ, ಹಳೆಯ ಆವೃತ್ತಿಯಲ್ಲಿರುವವರಿಗೆ, ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಹೊಸ ಆವೃತ್ತಿಗೆ ನವೀಕರಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.
ಈ ನ್ಯೂನತೆಗಳ ಪರಿಹಾರಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ, TCG (ವಿಶ್ವಾಸಾರ್ಹ ಕಂಪ್ಯೂಟಿಂಗ್ ಗ್ರೂಪ್) ಈ ದೋಷಗಳನ್ನು ಪರಿಹರಿಸಲು ಸೂಚನೆಗಳೊಂದಿಗೆ TPM2.0 ಲೈಬ್ರರಿ ವಿವರಣೆಗಾಗಿ ತನ್ನ ಎರ್ರಾಟಾಗೆ ನವೀಕರಣವನ್ನು ಪ್ರಕಟಿಸಿದೆ. ತಮ್ಮ ಸಿಸ್ಟಂಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು, ಬಳಕೆದಾರರು ತಮ್ಮ ಪೂರೈಕೆ ಸರಪಳಿಯ ಮೂಲಕ ಹಾರ್ಡ್ವೇರ್ ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ ತಯಾರಕರು ಒದಗಿಸಿದ ನವೀಕರಣಗಳನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಅನ್ವಯಿಸಬೇಕು.
ಅಂತಿಮವಾಗಿ, ನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಸಂಪರ್ಕಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್ನಲ್ಲಿ.