教育機構ANA通報平台
| 發佈編號 | 發佈時間 | ||
| 事故類型 | ANA-漏洞預警 | 發現時間 | 2017-11-24 00:00:00 |
| 影響等級 | 中 | ||
| [主旨說明:]【漏洞預警】英飛凌TPM晶片存在RSA缺陷漏洞(CVE-2017-15361),導致攻擊者可偽冒合法使用者以獲取機敏資訊,請儘速評估確認與進行修正 | |||
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201711-0029 英飛凌(Infineon Technologies)是一間位於德國的半導體製造商,主力提供半導體與系統解決方案。可信賴平台模組(Trusted Platform Module, TPM)是由可信賴運算組織(Trusted Computing Group, TCG)所發展的安全晶片規格,用以儲存如密碼、憑證或加密金鑰等重要資料,目前廣泛應用於筆記型電腦、路由器或物聯網裝置的主機板上。 研究人員發現英飛凌公司的加密智能卡、安全令牌(Security Tokens)及其他安全硬體等,其基於TCG規範1.2與2.0版所生產的TPM晶片存在RSA缺陷漏洞(CVE-2017-15361),攻擊者可透過因數分解攻擊(Factorization Attack)計算出私密金鑰(Private Key),進而導致攻擊者可偽冒合法使用者以獲取機敏資訊。 |
|||
[影響平台:]
基於TCG規範1.2與2.0版所生產之TPM晶片 |
|||
[建議措施:]
目前英飛凌官網(https://www.infineon.com/cms/en/product/promopages/tpm-update/?redirId=59160) 已彙整各廠商所提供技術支援連結,各機關可自行參考廠商提供的受影響產品與更新檔進行修復。 - HP (https://support.hp.com/us-en/document/c05792935) - Lenovo (https://support.lenovo.com/tw/zh/product_security/len-15552) - Fujitsu (http://support.ts.fujitsu.com/content/InfineonTPM.asp) - Panasonic (http://pc-dl.panasonic.co.jp/itn/info/osinfo20171026.html) - Toshiba (https://support.toshiba.com/sscontent?contentId=4015874) - Chrome OS (https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update) |
|||
[參考資料:]
1.https://crocs.fi.muni.cz/public/papers/rsa_ccs17#detection_tools_mitigation_and_workarounds 2.https://www.ithome.com.tw/news/117518 3.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012 4.http://www.securityweek.com/tech-giants-warn-crypto-flaw-infineon-chips |
|||
| (此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
| 教育機構資安通報應變小組 網址:https://info.cert.tanet.edu.tw/ 專線電話:07-5250211 網路電話:98400000 E-Mail:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它 |