Lỗ hổng TPM 2.0 mới đang đe doạ hàng tỷ PC trên toàn cầu

Các chuyên gia cảnh báo "hàng tỷ" thiết bị chạy Win 11 có thể gặp sự cố về bảo mật.

Các nhà nghiên cứu an ninh mạng từ Quarkslab đã phát hiện ra hai lỗ hổng thư viện Trusted Platform Module (TPM) 2.0, lỗ hổng này có thể gây rắc rối lớn cho “hàng tỷ” PC trên toàn cầu.

Hai lỗ hổng được phát hiện bao gồm CVE-2023-1017 được xác định là lỗi ghi ngoài giới hạn và CVE-2023-1018 là lỗi đọc ngoài giới hạn. 

Lỗ hổng TPM 2.0 mới đang đe doạ hàng tỷ PC trên toàn cầu

"Những lỗ hổng này có thể được kích hoạt từ các ứng dụng ở chế độ người dùng bằng cách gửi các lệnh độc hại đến TPM 2.0 có firmware dựa trên triển khai tham chiếu TCG bị ảnh hưởng", Trusted Computing Group (TCG) cho biết.

Nói cách khác, việc khai thác thành công các lỗ hổng CVE-2023-1017 và CVE-2023-1018 có thể xâm phạm bảo mật, mật khẩu và dữ liệu quan trọng khác, khiến các tính năng bảo mật dựa trên TPM hiện đại của Win 11 trở nên vô dụng.

Lỗ hổng TPM 2.0 mới đang đe doạ hàng tỷ PC trên toàn cầu

CVE-2023-1017 và CVE-2023-1018 là kết quả của việc thiếu kiểm tra độ dài cần thiết, dẫn đến tràn bộ nhớ đệm (buffer overflows) có thể mở đường cho việc lột lọt thông tin hoặc leo thang đặc quyền.

TPM 2.0 là con chip mà các nhà sản xuất PC đã thêm vào bo mạch chủ từ giữa năm 2016. Công nghệ này, như Microsoft giải thích, được thiết kế để cung cấp “các chức năng liên quan đến bảo mật”. Con chip này giúp tạo, lưu trữ và giới hạn việc sử dụng các khóa mật mã. 

Lỗ hổng TPM 2.0 mới đang đe doạ hàng tỷ PC trên toàn cầu

Theo Trung tâm điều phối CERT tại Đại học Carnegie Mellon khuyến cáo, người dùng nên áp dụng các bản cập nhật do TCG cũng như các nhà cung cấp khác phát hành để vá các lỗ hổng giảm rủi ro bị khai thác.

  • TMP 2.0 v1.59 Errata phiên bản 1.4 trở lên
  • TMP 2.0 v1.38 Errata phiên bản 1.13 trở lên
  • TMP 2.0 v1.16 Errata phiên bản 1.6 trở lên

Mặc dù về mặt lý thuyết, các lỗ hổng có thể ảnh hưởng đến hàng tỷ bo mạch chủ và phần mềm và hiện tại có một số hãng cũng đã xác nhận đã gặp phải sự cố liên quan. 

Lenovo là công ty sản xuất PC đưa ra những báo cáo đầu tiên về hai lỗ hổng TPM cho đến nay. Trước đó, công ty cảnh báo rằng CVE-2023-1017 ảnh hưởng đến một số thiết bị của họ khi chạy Nuvoton TPM 2.0.

Bài đọc nhiều nhất

Bài mới trong ngày

Spotify xóa 75 triệu bài hát AI trong một năm, ngành công nghiệp âm nhạc bắt đầu "dán nhãn AI

Spotify xóa 75 triệu bài hát AI trong một năm, ngành công nghiệp âm nhạc bắt đầu "dán nhãn AI

quânQuân Kít

Làn sóng âm nhạc do AI tạo ra đang bùng nổ với tốc độ chưa từng có, buộc Spotify và các tổ chức âm nhạc lớn trên thế giới phải triển khai những biện pháp mạnh tay nhằm ngăn chặn nội dung rác và bảo vệ các nghệ sĩ. Chỉ trong năm 2025, Spotify đã xóa tới 75 triệu bài hát được tạo bằng AI vì vi phạm các tiêu chuẩn của nền tảng.

Công Nghệ
Bản lĩnh của "Cụ tổ" Isekai: Tác giả Mushoku Tensei tuyên bố phớt lờ mọi chỉ trích, kiên định viết theo ý mình

Bản lĩnh của "Cụ tổ" Isekai: Tác giả Mushoku Tensei tuyên bố phớt lờ mọi chỉ trích, kiên định viết theo ý mình

hoanlagvnDũng Nhỏ TT

Sự trở lại đầy hứa hẹn của mùa 3 bom tấn anime "Mushoku Tensei" (Thất nghiệp chuyển sinh) gần đây đã lập tức kéo theo một làn sóng thảo luận sôi nổi trên khắp các diễn đàn toàn cầu. Giữa tâm điểm của những tranh cãi vốn đã gắn liền với thương hiệu này suốt nhiều năm qua, tác giả Rifujin na Magonote đã có màn đáp trả thẳng thắn, khẳng định ông vẫn sẽ tiếp tục sáng tác theo cách mình mong muốn và tuyệt đối không để những bình luận tiêu cực làm lung lay ngòi bút.

Giải trí
EU chính thức buộc Google chia sẻ dữ liệu tìm kiếm và mở Android cho AI bên thứ ba

EU chính thức buộc Google chia sẻ dữ liệu tìm kiếm và mở Android cho AI bên thứ ba

Khoa NguyenNguyễn Tiến Khoa

Ủy ban châu Âu vừa công bố các biện pháp thực thi mới theo Đạo luật Thị trường Kỹ thuật số (Digital Markets Act - DMA), yêu cầu Google phải mở rộng khả năng tương thích trên Android và chia sẻ dữ liệu Google Search với các đối thủ. Đây được xem là một trong những động thái mạnh tay nhất của Liên minh châu Âu nhằm hạn chế vị thế thống lĩnh của Google trong lĩnh vực tìm kiếm và hệ điều hành di động.

Công Nghệ
Lên đầu trang