有鉴于蓝牙版本安全金钥的安全性问题,微软周二发出安全公告指出,将阻止有漏洞的蓝牙(BLE)FIDO安全金钥和Windows PC的配对。
近日BLE版FIDO硬件安全金钥爆发漏洞CVE-2019-2102。这项漏洞出自蓝牙配对协定的组态错误。在BLE规格中有一个长期金钥(Long Term Key,LTK)示范样本,如果BLE装置采用此样本来写成LTK,理论上,位于蓝牙装置附近的攻击者可以用他的装置(手机或笔记本电脑)抢先用户一步连接BLE金钥来登入用户帐户,或是用其装置冒充BLE金钥来连上用户的装置,进一步在受害装置上输入指令或删改资料。
为此,微软已经在周二(6月11日)释出的每月例行安全更新中,阻止问题产品与Windows的配对。
CVE-2019-2102即是和上个月Titan蓝牙版安全金钥发现的同一漏洞,促使Google回收并换新产品。受到该漏洞影响的产品,包括Google Titan蓝牙版安全金钥及中国厂商Feitian出品的MultiPass FIDO Security Key部份型号。Google也在上周于Android更新中修补了CVE-2019-2102。
微软建议用户应尽速安装6月的Windows安全更新,并随时注意Google Android及Feitian的安全公告。
资料来源:iThome Security
| 留言与评论(共有 0 条评论) |
