聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
攻击者可滥用从 Bluetooth Core 和 Mesh Profile 标准中发现的多个漏洞在配对过程中模拟合法设备并发动中间人攻击。
Bluetooth Core 和 Mesh Profile 标准定义了蓝牙设备需要遵守的互相之间通信的要求,以及定义了使用低能耗无线技术的蓝牙设备启用互操作网格网络解决方案需满足的要求。
这些漏洞是 ANSSI 机构的研究员发现的,如遭攻击者滥用,可使攻击者在易受攻击设备的无线范围内发动中间人攻击。
负责监管蓝牙标准制定的蓝牙特别兴趣组 (Bluetooth SIG) 也在今天早些时候发布安全公告,指出了针对影响这两个易受攻击标准的每个安全缺陷的建议。这些缺陷的编号是CVE-2020-26559、CVE-2020-26556、CVE-2020-26557、CVE-2020-26560、CVE-2020-26555 和 CVE-2020-26558,还有一个并未分配编号。
Bluetooth SIG 表示,该组织机构“正在就该漏洞及其修复方案与会员企业广泛沟通详情,并鼓励它们快速集成任意必要补丁。和之前一样,蓝牙用户应确保安装了操作系统厂商最新推荐的更新版本。“
受影响厂商正在推出补丁
CERT/CC 指出,安卓开放项目 (AOSP)、思科、英特尔、红帽、Microchip Technology 和 Cradlepoint 等厂商正在了解易受影响的产品。AOSP 正在推出安全更新解决影响安卓设备的 CVE-2020-26555和CVE-2020-26558 漏洞。AOSP 表示,“安卓认为该问题对于安卓操作系统而言是高危漏洞,将在即将发布的安卓安全通告中发布补丁。“
思科也正在为影响其产品的同样两个漏洞推出补丁。
尽管受其中某些缺陷影响,但英特尔、红帽、Cradlepoint 并未在漏洞披露前向 CERT/CC 提供任何声明。
推荐阅读
谷歌:注意 Linux 内核中严重的零点击 “BleedingTooth” 蓝牙缺陷
苹果蓝牙协议的源代码质量都这么差了吗?!研究员找到10个 0day
原文链接
https://www.bleepingcomputer.com/news/security/bluetooth-flaws-allow-attackers-to-impersonate-legitimate-devices/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1919
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
