多个蓝牙缺陷可使攻击者假冒合法设备
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
攻击者可滥用从 Bluetooth Core 和 Mesh Profile 标准中发现的多个漏洞在配对过程中模拟合法设备并发动中间人攻击。
Bluetooth Core 和 Mesh Profile 标准定义了蓝牙设备需要遵守的互相之间通信的要求,以及定义了使用低能耗无线技术的蓝牙设备启用互操作网格网络解决方案需满足的要求。
这些漏洞是 ANSSI 机构的研究员发现的,如遭攻击者滥用,可使攻击者在易受攻击设备的无线范围内发动中间人攻击。
负责监管蓝牙标准制定的蓝牙特别兴趣组 (Bluetooth SIG) 也在今天早些时候发布安全公告,指出了针对影响这两个易受攻击标准的每个安全缺陷的建议。这些缺陷的编号是CVE-2020-26559、CVE-2020-26556、CVE-2020-26557、CVE-2020-26560、CVE-2020-26555 和 CVE-2020-26558,还有一个并未分配编号。
Bluetooth SIG 表示,该组织机构“正在就该漏洞及其修复方案与会员企业广泛沟通详情,并鼓励它们快速集成任意必要补丁。和之前一样,蓝牙用户应确保安装了操作系统厂商最新推荐的更新版本。“
受影响厂商正在推出补丁
CERT/CC 指出,安卓开放项目 (AOSP)、思科、英特尔、红帽、Microchip Technology 和 Cradlepoint 等厂商正在了解易受影响的产品。AOSP 正在推出安全更新解决影响安卓设备的 CVE-2020-26555和CVE-2020-26558 漏洞。AOSP 表示,“安卓认为该问题对于安卓操作系统而言是高危漏洞,将在即将发布的安卓安全通告中发布补丁。“
思科也正在为影响其产品的同样两个漏洞推出补丁。
尽管受其中某些缺陷影响,但英特尔、红帽、Cradlepoint 并未在漏洞披露前向 CERT/CC 提供任何声明。
推荐阅读
谷歌:注意 Linux 内核中严重的零点击 “BleedingTooth” 蓝牙缺陷
苹果蓝牙协议的源代码质量都这么差了吗?!研究员找到10个 0day
SweynTooth:这些蓝牙漏洞导致多种设备易受攻击
原文链接
https://www.bleepingcomputer.com/news/security/bluetooth-flaws-allow-attackers-to-impersonate-legitimate-devices/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
多个蓝牙缺陷可使攻击者假冒合法设备相关推荐
- 惠普企业警告:Sudo 漏洞可使攻击者获得 Aruba 平台的 root 权限
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 惠普企业 (HPE) 警告称,其 Aruba AirWave 管理平台中使用的开源程序 Sudo 中存在一个高危漏洞 (CVE-2021-315 ...
- 谷歌:注意 Linux 内核中严重的零点击 “BleedingTooth” 蓝牙缺陷
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌发布了高危蓝牙缺陷(CVE-2020-12351) 的详情,它影响支持 BlueZ的Linux 内核5.9以下版本的蓝牙栈. Li ...
- 微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,微软提醒客户修复两个活动目录 (Active Directory) 域名服务提权漏洞(CVE-2021-42287和CVE-2021-42 ...
- 如何使 FlashGet 正常合法 下载 Session 中的自定义文件链接呢? JSP/Servlet 实现!
<% //============================================================================================ ...
- 计算机移动设备有限公司,使计算机,移动设备更节能
计算机的缓存是存储器的一部分,其中存储经常使用的项目以加速处理. 例如,如果您经常访问手机上的相同网站,您的手机可能会保存有关这些网站的信息,因此您的浏览器或应用每次都不需要重新下载. 亚利桑那大学电 ...
- oracle中的脱机与联机,使存储池中的设备联机和脱机
使存储池中的设备联机和脱机 使用 ZFS 可使单个设备脱机或联机.硬件不可靠或无法正常工作时(假定该情况只是暂时的),ZFS 会继续对设备读写数据.如果该情况不是暂时的,您可以指示 ZFS 通过使设备 ...
- 苹果新漏洞 “Shrootless” 可使攻击者在macOS 系统上安装后门
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周二,微软发布了漏洞 (CVE-2021-30892) 的详情.该漏洞可导致攻击者绕过 macOS 中的安全限制,完全控制该设备并在设备上执行 ...
- 蓝牙定位技术使室内定位更加精准--高精度定位--新导智能
谈到蓝牙,很多人榜首知道无疑是已经在消费者身边普及的无线耳机.可穿戴设备.智能家居间的连接办法.蓝牙已经成为了几乎一切设备的标配,应用的设备小到手机.平板电脑,再到互联设备.再到轿车,并在智能楼宇.智 ...
- python开发的软件sparrow-黑客常用wifi蓝牙分析攻击工具,让你的设备陷入危险之中...
工具概述 Sparrow-wifi本质上一款针对下一代2.4GHz和5GHz的WiFi频谱感知工具,它不仅提供了GUI图形化用户界面,而且功能更加全面,可以代替类似inSSIDer和linssid之类 ...
最新文章
- 成功解决TypeError: object of type ‘int‘ has no len()
- c语言 搜索题油田问题,HDU1241 经典油田问题(BFS)
- javafx之TableView的FXCSS
- 请编写一个php程序,(笔试题)php练习笔试题(一)
编写程序(请任选两题)
- Confluence部署攻略 [转]
- 模仿Spring实现一个类管理容器
- QT5_数据类型转化
- docker学习总结二
- 工程介绍好处费性质_中间人拿工程好处费是否违法
- 四轴锁付程序,三菱FX5U发脉冲控制主轴,与好伙伴伺服电批进行MODBUS485通讯
- C++(21)——反向输出一个三位数
- 硅谷华人天才CEO被开除,是否会有奇迹发生?
- 【软考系统架构设计师】2012年下系统架构师案例分析历年真题
- 设计模式之禅【六大设计原则】
- 产品读书《滚雪球:巴菲特和他的财富人生》
- 网易教育论坛:“状元”在美读大学:中国孩子都被教傻了
- 东软集团收购软件外包商大连华信
- 关于Vcc和Vdd的区别
- [python] 使用正则表达式验证email地址是否有效
- 织梦dedecms转换其他CMS教程
热门文章
- ConcurrentHashMap(转)
- 对openflow 1.0协议的扩展
- Linux的cron和crontab
- 造轮子,常用JS处理HTML工具(HTMLUtils)
- 解决VMware Tools installation cannot be started manually while Easy Install is in progress.
- zkcli远程连接_ZooKeeper客户端 zkCli.sh 节点的增删改查
- android真实项目教程(一)——App应用框架搭建_by_CJJ
- Android 自定义ViewGroup
- Android anr 产生的原因和如何避免
- Git bash的中文化支持