បញ្ហាសុវត្ថិភាពដ៏ធ្ងន់ធ្ងរចំនួន២ ត្រូវបង្ហាញនៅក្នុង Trusted Platform Module (TPM) 2.0 reference library specification ដែលអាចបណ្តាលឱ្យលេចធ្លាយព័ត៌មាន ឬការបង្កើនសិទ្ធិ។ CVE-2-23-1017 គឺជាបញ្ហា out-of-bounds write ពាក់ព័ន្ធនឹងការខូចទិន្នន័យ, គាំងដំណើរការ និងដំណើរការកូដ ខណៈដែល CVE-2023-1018 ពាក់ព័ន្ធនឹង out-of-bounds read អាចបណ្តាលឱ្យហេគឃ័រអានព័ត៌មានរសើបពីអង្គចងចាំផ្សេងៗ និងបណ្តាលឱ្យគាំងដំណើរការ។ បញ្ហានេះកើតមានកាលពីខែវិច្ឆិកា ឆ្នាំ២០២២ រកឃើញដោយក្រុមហ៊ុនសន្តិសុខសាយប័រ Quarkslab។
ក្រុម Trusted Computing Group (TCG) ថ្លែងថា បញ្ហាទាំងនេះអាចត្រូវចាប់ផ្តើមពីកម្មវិធី user-mode app តាមរយៈការផ្ញើពាក្យបញ្ជាអាក្រក់ទៅ TPM 2.0 ដែលជាកម្មវិធីបង្កប់ (firmware) ហើយផ្អែកលើការអនុវត្ត TCG reference ដែលរងគ្រោះ។
ក្រុមហ៊ុន Quarslab ថ្លែងថា អ្នកផ្គត់ផ្គង់បច្ចេកវិទ្យាធំៗ, អង្គការដែលប្រើកុំព្យូទ័រសហគ្រាស (enterprise computers), ម៉ាស៊ីនមេ, ឧបករណ៍អុីនធឺណីតនៃវត្ថុ (IoT devices) និងប្រព័ន្ធបង្កប់ (embedded systems) ដែលរួមមាន TPM អាចត្រូវប៉ះពាល់ដោយបញ្ហាទាំងនេះ។ ជាងនេះ ក្រុមហ៊ុនបន្ថែមថា បញ្ហានេះអាចបណ្តាលឱ្យប៉ះពាល់ដល់ឧបករណ៍រាប់លានគ្រឿង។ TPM គឺជាដំណោះស្រាយមានមូលដ្ឋាននៅលើផ្នែករឹង (ឧ. A crypto-processor) ដែលត្រូវបង្កើតឡើងដើម្បីផ្តល់នូវមុខងារសុវត្ថិភាព cryptographic និងយន្តការសុវត្ថិភាពរូបវន្តដើម្បីទប់ទល់នឹងការរំខាន។
ក្រុមហ៊ុនម៉ាយក្រូសូស្វថ្លែងនៅក្នុងឯកសារថា មុខងារទូទៅរបស់ TPM ត្រូវប្រើសម្រាប់វាស់វែងសុចរិតភាពរបស់ប្រព័ន្ធ និងសម្រាប់ការបង្កើតនិងប្រើប្រាស់គន្លឹះ (key)។ នៅពេលដំណើរ boot របស់ system, boot កូដដែលត្រូវផ្ទុក (រួមមានកម្មវិធីបង្កប់ (firmware) និងសមាសធាតុប្រព័ន្ធដំណើរការ (operating system)) អាចត្រូវវាស់វែង និងកត់ត្រានៅក្នុង TPM។ វិធានការសុចរិតភាពអាចត្រូវប្រើជាភស្តុតាងសម្រាប់ការចាប់ផ្តើមប្រព័ន្ធ និងធានាថា TPM-based key ត្រូវប្រើតែមួយគត់នៅពេលកម្មវិធីត្រឹមត្រូវ (correct software) ត្រូវប្រើសម្រាប់ boot system។
សម្ព័ន្ធ TCG កត់សម្គាល់ថា បញ្ហាកើតមានបណ្តាលមកពីកង្វះការត្រួតពិនិត្យប្រវែងចាំបាច់ (necessary length checks) នាំឱ្យមានការផ្ទុកលើសចំណុះដែលអាចនឹងមានការបង្ហាញព័ត៌មាន ឬការបង្កើនសិទ្ធិក្នុងតំបន់។ អ្នកប្រើប្រាស់ត្រូវផ្តល់អនុសាសន៍ឱ្យធ្វើបច្ចុប្បន្នភាពដែលចេញដោយ TCG ក៏ដូចជាអ្នកផ្គត់ផ្គង់ផ្សេងទៀត ដើម្បីកាត់បន្ថយខ្សែច្រវាក់ផ្គត់ផ្គង់ដែលមានគ្រោះថ្នាក់។ អ្នកប្រើប្រាស់នៅក្នុងមជ្ឈដ្ឋានកុំព្យូទ័រគួរតែពិចារណាប្រើ TPM Remote Attestation ដើម្បីដឹងពីការផ្លាស់ប្តូរឧបករណ៍ និងធានាថា TPM គ្មានការជ្រៀតជ្រែក ឬផ្លាស់ប្តូរ៕
ប្រែសម្រួលដោយ៖ កញ្ញា