保安芯片爆漏洞Microsoft、Google、Lenovo同遭殃

早两日 Wi-Fi 采用的保安协定 WPA2 被发现有漏洞，已经令人心惶惶，但其实同日还有另一单漏洞事件被发现，那就是一间著名保安芯片生产商 Infineon Technologies 所生产的保安芯片被发现存在漏洞，骇客可以取得加密时所用的 RSA 私有键！

Infineon Technologies 供应保安芯片给不少大生产商，当中包括 Microsoft 、 Google 、 Lenovo 等，而米国保安机构 CERT/CC 就在日前发出报告，指该公司的保安芯片存在漏洞，指骇客可以轻易取得芯片里的 RSA 密键，并指各大厂商经已就这问题开始推出韧体更新。

保安芯片供应商 Infineon Technologies 的函式库出漏洞，装有该公司芯片的 Chromebook 均告中招

据 CERT/CC 指出，Infineon RSA 函式库版本 1.02.013 并没有适当地生成 RSA 密键对，令到骇客只要凭著由这个函式库产生的 RSA 公开键，就可以将 RSA 私有键计算出来，令加密形同虚设。这个漏洞在评价危险程度的 CVSS 系统中被评为 8.8 分（最严重为 10 分），意味着严重程度很高。

CERT/CC 公布已确认中招的生产商名单

据知，使用了有问题 RSA 函式库的可信赖平台模组（ TPM ）保安芯片和智能卡被多间智能产品生产商广泛应用。据 ASUS 的网站指出：“配备 TPM 的电脑可以建立仅能由 TPM 解密的加密金钥。TPM 会用自己的储存金钥“包装”加密金钥，此金钥存放在 TPM 内。将金钥储存在 TPM 微芯片上而不是硬盘中，能够提供更佳的防护，以防止想要公开加密金钥的攻击。”

在 CERT/CC 公开的报告中就指 Microsoft 、 Google 、 富士通 、 HP Enterprise 和 Lenovo 等公司的产品，均已确认受这个漏洞影响。 Google 方面就使用了 Infineon 的 TPM 芯片在 Chromebook 上，该公司已经推出了韧体更新档修正问题。 Microsoft 方面，就已经在 10 月 10 日的更新中修正了有关漏洞。富士通方面就表示会在 10 月底开始韧体更新。

Chromium OS 经已推出修正档补救

无论 Wi-Fi WPA2 加密协议漏洞也好，这次保安芯片漏洞也好，对应的方法都是更新韧体，大家可不要疏忽啊！