微软今天表示,由于今年早些时候其工程师在BLE配对协议中发现了漏洞,它计划在Windows上阻止某些蓝牙低功耗(BLE)安全密钥的配对。
微软引用的漏洞也存在同样的安全漏洞,迫使谷歌上个月召回所有位于BLE的Titan安全密钥,并为其客户提供免费更换服务。
该漏洞被追踪为CVE-2019-2102,是由两名微软安全研究人员埃里克彼得森和马特比弗在今年早些时候发现的。
两人发现,BLE配对协议实现中的错误配置将允许受害者附近的本地攻击者在用户不知情或未交互的情况下,将流氓BLE设备与用户系统(智能手机、笔记本电脑、个人电脑)配对。
当时,只有BLE兼容的谷歌泰坦和天妃安全密钥会受到该漏洞的影响,两家公司都向其客户提供免费更换服务。
在Microsoft操作系统级别采取行动
如今,微软也采取措施保护Windows用户,当他们使用其他易受相同CVE-2019-2102漏洞攻击的BLE安全密钥时。
在今天发布的安全公告中,微软表示,“为了解决这个问题,微软已经阻止了这些蓝牙低功耗(BLE)密钥配对和配对错误配置。”
这个安全公告-adv 190016-是微软公司2019年6月发布的补丁星期二更新的一部分,该更新是该公司在几个小时前发布的。
这意味着,在应用今天的安全更新后,Windows用户将在操作系统级别受到保护,以防止任何未知的BLE设备配对也可能容易受到这种攻击。
上周,谷歌发布了一个类似的Android操作系统安全补丁,包括对CVE-2019-2102的修复,以防止攻击者通过使用这种BLE协议,将恶意BLE设备误配置为Android智能手机。
微软的ADV190016也做同样的事情,但针对Windows用户。
对于Linux和macOS用户,建议他们在这个问题上遵循Google的建议,只在攻击者不在的环境下将BLE安全密钥与其操作系统配对。
标签:
版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。