催更新Lenovo 安全公告:LEN-2015-082
潜在影响:信息披露
重要性:不一定;从无到中
摘要:
某些 Lenovo ThinkPad 系统在配置时没有设置 TPM“nvLocked”永久标志。
可信平台模块(TPM)是主板上的一个微控制器,可用于安全地存储用于认证平台的工件(例如密码、证书或加密密钥)或可确保系统可靠性的测量结果。
TPM 包含若干个不同的子系统和存储区域,可处理和存储不同的数据类型。 大多数区域侧重于传统的 TPM 安全功能,但是有一个通用的非易失性 RAM(NVRAM)存储区域可供自定义应用程序选择使用。 默认情况下,NVRAM 在许可状态下进行配置。 这种许可状态不会影响其他 TPM 子系统或存储区域的安全性或完整性,例如处理加密密钥或平台配置寄存器(PCRs)的 TPM 子系统或存储区域。
某些 ThinkPad 和 ThinkServer 系统没有设置“nvLocked”TPM 永久标志。此标志用于防止未经授权地访问 1280 字节用户可访问的非易失性存储区域(NVRAM)。这意味着,未经授权的用户无需经过适当的认证即可访问此区域。
Lenovo 尚不清楚有哪些商业应用程序可访问 TPM 的这一区域,但是自定义应用程序可能能够访问。客户可使用所提供的 nvLocked Patch Utility 来验证其系统是否正在使用 TPM 的这一区域。此工具的源代码位于下载包内。
存储在正常 TPM 区域中的密钥和数据没有受到此问题的影响。
应采取哪些措施进行自我保护:
客户可选择以下两个选项中的一项来缓解此问题
客户可使用此处提供的工具来确定其系统是否已设置“nvLocked”TPM 永久标志,并在未设置的情况下自动设置此标志。用户还可通过此程序来确定其系统是否正在使用用户非易失性存储区域。
或者,将本公告的“产品影响”部分中列出的受影响系统的 BIOS 级别更新到最新级别。此更新将确保用户设置好“nvLocked”TPM 永久标志。
产品影响:
受影响的产品 | 最低版本,包括修复程序 | 链接 |
ThinkPad 11e(20ED、20EE) | 目标上市时间:2015 年 11 月 30 日 | |
ThinkPad 11e(20E6、20E8)/Yoga 11e(20E5、20E7) | 目标上市时间:2015 年 11 月 30 日 | |
ThinkPad E450(Broadwell) | J5ET48WW | |
ThinkPad E450(Sharkbay) | J5ET48WW | |
ThinkPad E550(Broadwell) | J5ET48WW | |
ThinkPad E550(Sharkbay) | J5ET48WW | |
ThinkPad Edge E431/E531 | 目标上市时间:2015 年 11 月 30 日 | |
ThinkPad Edge E440/E540 | 目标上市时间:2015 年 11 月 30 日 | |
ThinkPad L450(Broadwell) | JDET54WW | |
ThinkPad L450(Sharkbay) | JDET54WW | |
ThinkPad Tablet 10(32 位) | GUET75WW | |
ThinkPad Tablet 10(64 位) | GWET39WW | |
ThinkPad Yoga 11e(20D9、20DA) | N15ET65W |
修订历史:
版本 | 日期 | 描述 |
1.1 | 2015 年 10 月 28 日 | 已发布其他修复程序 |
1.0 | 2015 年 9 月 23 日 | 初始版本 |
0 
鎵爜鐧诲綍鏇村畨鍏�