Firma Quarkslab, zajmująca się cyberbezpieczeństwem, odkryła parę nowych luk w bibliotece TPM 2.0, co zaniepokoiło ekspertów ds. Bezpieczeństwa, ponieważ obie luki mogą mieć daleko idące konsekwencje. Dwie luki znajdują się pod identyfikatorami CVE CVE-2023-1017 i CVE-2023-1018, gdzie pierwsza pozwala na zapis poza zakresem, podczas gdy druga umożliwia odczyt poza zakresem, znany również jako bufor luki w zabezpieczeniach związane z przepełnieniem. To samo w sobie może nie brzmieć szczególnie niepokojąco, ale ponieważ oba mogą być uruchamiane z aplikacji w trybie użytkownika, są one dość dużym problemem, ponieważ umożliwiłyby wysyłanie złośliwych poleceń do modułu TPM 2.0, co z kolei mogłoby umożliwić złośliwe oprogramowanie do zainstalowania na urządzeniu z modułem TPM 2.0.
Według Quarkslab może to mieć wpływ na miliardy urządzeń, ponieważ moduły uwierzytelniania TPM 2.0 są używane we wszystkim, od serwerów po urządzenia IoT i od prawie dekady są głównym sprzętowym rozwiązaniem kryptograficznym. Atakujący wykorzystujący luki musiałby wiedzieć, co robi, aby móc wykorzystać te dwie luki w TPM 2.0, ale ponieważ opiera się on na interfejsie poleceń TPM, nie ma łatwego sposobu ochrony przed atakiem, jeśli ktoś uzyskał dostęp użytkownika do danego systemu. Trusted Computing Group (TCG), która jest odpowiedzialna za standard TPM, wydała już erratę, która zawiera instrukcje, jak zaradzić dwóm lukom w zabezpieczeniach i oczekujemy aktualizacji od wszystkich głównych dostawców sprzętu, jeśli uznają to za stosowne.