首页 > 要闻 > > 正文
2019-06-12 16:17

Microsoft阻止具有已知配对漏洞的BLE安全密钥

微软今天表示,由于其工程师在今年早些时候在BLE配对协议中发现的漏洞,它计划阻止Windows上某些蓝牙低功耗(BLE)安全密钥的配对。

微软引用的漏洞存在同样的安全漏洞,迫使谷歌上个月召回所有基于BLE的Titan安全密钥,并为其客户提供免费更换服务。

该漏洞被追踪为CVE-2019-2102,今年早些时候被两名微软安全研究人员Erik Peterson和Matt Beaver发现。

两人发现,在BLE配对协议的实施中的错误配置将允许受害者附近的本地攻击者将流氓BLE设备与用户的系统(智能手机,笔记本电脑,PC)配对,而无需用户的知识或交互。

当时,只有BLE兼容的Google Titan和Feitian安全密钥才会受到此漏洞的影响,两家公司都向其客户提供免费更换服务。

微软在操作系统级别采取行动

今天,在他们使用易受同一CVE-2019-2102漏洞攻击的其他BLE安全密钥的情况下,微软还采取措施保护Windows用户。

微软在今天发布的一份安全公告中说:“为了解决这个问题,微软已经阻止这些蓝牙低功耗(BLE)密钥配对与配对错误配置。”

此安全公告 - ADV190016 - 是微软公司在2019年6月发布的补丁星期二更新的一部分,该公司几小时前发布了该更新。

这意味着在应用今天的安全更新后,Windows用户将在操作系统级别受到保护,以防止任何可能也容易受到此攻击的未知BLE设备配对。

上周,谷歌发布了针对Android操作系统的类似安全补丁,其中包括针对CVE-2019-2102的修复程序,防止攻击者利用此BLE协议错误配置将恶意BLE设备与Android智能手机配对。

微软的ADV190016做同样的事情,但对于Windows用户。

对于Linux和macOS用户,建议他们遵循Google关于此问题的建议,并且只在攻击者不在身边的环境中将BLE安全密钥与其操作系统配对。

相关推荐