藍牙技術聯盟(Bluetooth SIG)在24日揭露了7個有關藍牙規格的安全漏洞,這些安全漏洞存在於Core及Mesh Profile規格中,將允許駭客冒充合法裝置,波及Android開源專案、思科、Cradlepoint、英特爾、Microchip與紅帽的相關產品。

Bluetooth Core與Bluetooth Mesh Profile都是用來定義各種,企圖利用藍牙進行連線的裝置政策及技術需求的規格,在本周揭露的漏洞中,與Mesh Profile規格有關的為CVE-2020-26559、CVE-2020-26556、CVE-2020-26557與CVE-2020-26560;而CVE-2020-26555、CVE-2020-26558與另一個尚未具備編號的漏洞,則涉及Core規格。

根據卡內基梅隆大學CERT協調中心的說明,相關漏洞將可用來執行冒充攻擊並揭露驗證值(AuthValue),允許駭客在執行藍牙配對時,假冒為合法裝置。

這些漏洞同時波及了採用藍牙規格的作業系統與硬體,其中,Android開源專案受到當中3個漏洞的影響,Google已準備藉由下一次的Android安全更新修補;紅帽至少受到兩個漏洞的影響,尚未提出修補時程。

思科則說受到兩個漏洞的影響,正在等待個別產品團隊的回報以提供軟體更新;專門開發雲端無線邊緣網路設備的Cradlepoint,以及英特爾亦受到兩個漏洞的波及;美國微控制器與半導體製造商Microchip已確定其中的兩個漏洞,影響該公司的部分藍牙產品,並已訂出修補計畫


熱門新聞

Advertisement