Se han revelado un par de defectos de seguridad graves en el M\u00f3dulo de plataforma segura (TPM<\/a>) Especificaci\u00f3n de la biblioteca de referencia 2.0 que podr\u00eda dar lugar a la divulgaci\u00f3n de informaci\u00f3n o a la escalada de privilegios.<\/p>\n Una de las vulnerabilidades, CVE-2023-1017<\/strong>se refiere a una escritura fuera de los l\u00edmites, mientras que la otra, CVE-2023-1018<\/strong>, se describe como una lectura fuera de los l\u00edmites. A la empresa de ciberseguridad Quarkslab se le atribuye el descubrimiento y la notificaci\u00f3n de los problemas en noviembre de 2022.<\/p>\n “Estas vulnerabilidades pueden desencadenarse desde aplicaciones en modo usuario mediante el env\u00edo de comandos maliciosos a un TPM 2.0 cuyo firmware se basa en una implementaci\u00f3n de referencia de TCG afectada”, Trusted Computing Group (TCG) dicho<\/a> en un aviso.<\/p>\n Los grandes proveedores de tecnolog\u00eda, las organizaciones que usan computadoras empresariales, servidores, dispositivos IoT y sistemas integrados que incluyen un TPM pueden verse afectados por las fallas, Quarkslab anotado<\/a>y agreg\u00f3 que “podr\u00edan afectar a miles de millones de dispositivos”.<\/p>\n TPM es una soluci\u00f3n basada en hardware (es decir, un criptoprocesador) que est\u00e1 dise\u00f1ada para proporcionar funciones criptogr\u00e1ficas seguras y mecanismos de seguridad f\u00edsica para resistir los intentos de manipulaci\u00f3n.<\/p>\n “Las funciones TPM m\u00e1s comunes se utilizan para medir la integridad del sistema y para la creaci\u00f3n y el uso de claves”, Microsoft dice<\/a> en su documentaci\u00f3n. “Durante el proceso de inicio de un sistema, el c\u00f3digo de inicio que se carga (incluidos el firmware y los componentes del sistema operativo) se puede medir y registrar en el TPM”.<\/p>\n “Las medidas de integridad se pueden usar como evidencia de c\u00f3mo se inici\u00f3 un sistema y para asegurarse de que se us\u00f3 una clave basada en TPM solo cuando se us\u00f3 el software correcto para iniciar el sistema”.<\/p>\n El consorcio TCG se\u00f1al\u00f3 que las deficiencias son el resultado de la falta de controles de longitud necesarios, lo que genera desbordamientos de b\u00fafer que podr\u00edan allanar el camino para la divulgaci\u00f3n de informaci\u00f3n local o la escalada de privilegios.<\/p>\n Se recomienda a los usuarios que aplicar las actualizaciones<\/a> lanzado por TCG, as\u00ed como por otros proveedores para abordar las fallas y mitigar los riesgos de la cadena de suministro.<\/p>\n “Los usuarios en entornos inform\u00e1ticos de alta seguridad deber\u00edan considerar el uso de la atestaci\u00f3n remota de TPM para detectar cualquier cambio en los dispositivos y asegurarse de que su TPM sea a prueba de manipulaciones”, el Centro de Coordinaci\u00f3n CERT (CERT\/CC) dicho<\/a> en una alerta.<\/p>\n <\/p>\n