联想伴侣应用程序不会通知您TPM固件更新

新的联想设备预先安装联想伴侣;管理设备维护和保修的应用程序,负责更新您的Lenovo驱动程序,固件和软件。但是,伴侣应用程序不会太严重责任,并且无法向您通知您的设备固件的安全更新。

我重要的其他人买了一个新的联想Thinkpad Carbon X1(5 Gen)我可能已经抓住了它,所以我可以将它与我的旧第一代模式进行比较。我注意到的差异之一是它有新的联想伴侣应用程序,旧的现代替代品Lenovo OneKey Optimizer应用程序我审查早在

乍一看,我很高兴看到联想伴侣现在发现,下载和安装更新到联想驱动程序,固件和软件。Companion应用程序有三类提供可用的更新:关键,推荐和可选。两分钟后几分钟后,我以为我会在一次转到每个可用的固件更新。事实证明,尽管在Lenovo Companion应用程序中令人令人放心的信息,但这不是这种情况:

“没有可用的更新。您的系统是最新的。“

在仔细检查时,我还注意到右下角的一个盒子,标有“额外更新”,将您带到Lenovo网站上的产品的产品支持页面。我发现了三种额外的更新,但抓住了我兴趣的那个是“安全”部分唯一的更新。

我找到了可信平台模块(TPM)固件的安全更新,该固件在随机数生成器中解决了漏洞(CVE-2017-15361或“Roca”)。该漏洞允许攻击者提取TPM的私有加密密钥,从而获得解密的能力。BitLocker设备加密,可在此设备上默认保护窗口。

Windows TPM管理标识Infineon漏洞

既不是Windows Update和Lenovo伴侣也不自动安装或通知我有关此安全更新的可用性。Windows Update有点单纯的,但是在Windows可信平台模块(TMP)管理实用程序中添加了关于过时固件的通知的更新,请更新。

我怀疑许多用户(如果有的话)曾打开这个程序,甚至更少会注意到微软隐藏在那里的更新提示。

为什么这不是自动更新的?

更新硬件加密模块是否有风险,此更新也不例外。更新TPM固件还会删除存储在其上的私钥;意思是你会的解密数据的能力存储在Windows BitLocker和其他解密软件中。这不是模块设计中的缺陷;它应该通过篡改其固件来难以从中恢复任何数据。

固件更新通知提到更新程序能够自己处理BitLocker,但用户需要处理任何其他加密软件的需求。要引用固件更新实用程序发行说明:

“应用TPM固件更新将删除存储在TPM芯片中的信息。如果客户使用将创建键的任何软件(如磁盘加密软件)用于TPM芯片,因此在应用TPM固件更新之前,客户需要暂时停止使用这些软件。此工具具有内置功能,可在TPM固件更新期间暂停Microsoft BitLocker,对于其他软件,客户需要遵循软件的说明来避免数据丢失。“yabo亚博体育下载

换句话说,您无法自动安装此更新而无需通知用户。Updater可能会包含用于使用TPM的其他常用软件的检测工具,并且在安装更新之前,它可能会显示关于备份任何加密数据的警告。

这并不能完全缓解数据丢失的潜力,因为用户不了解消息的情况下,不知道他们依赖于使用TPM的软件,或者TPM固件更新彻底失败。阶段更新方法可以帮助减轻这些问题。

更新实用程序可能首先在重新启动时禁用TPM,然后在每个引导上显示一条消息,此后提示用户检查所有软件仍然有效,然后重新启动,重新启用模块,然后更新其固件。

我的观点是,它不仅仅是以更好的方式处理这个更新过程的机智,而不是联想和英飞凌(TPM供应商)决定的更好的方法。至少,应该通知用户,并了解新固件的可用性,而不是由他们的“系统最新的伴侣应用程序虚假地放心。”