2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
網(wǎng)絡(luò)安全研究人員分享了開源實(shí)時(shí)Zephyr OS的藍(lán)牙低功耗 (BLE) 軟件堆棧中八個(gè)漏洞的詳細(xì)信息。在Linux 基金會(huì)的支持下開發(fā),Zephyr 在被英特爾收購并最終開源之前開始于 Wind River 。該操作系統(tǒng)支持 200 多個(gè)主板,包括 Intel、Linaro、德州儀器、Nordic Semiconductor、Bose、Facebook、Google 等公司的成員,其中許多公司擁有運(yùn)行 Zephyr 的設(shè)備。
發(fā)現(xiàn)漏洞的安全供應(yīng)商 Synopsys 將漏洞分為三個(gè)高級(jí)類別。一些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行,而其他漏洞可能被利用來獲取加密密鑰等機(jī)密信息。
“所有報(bào)告的漏洞都可以在藍(lán)牙 LE 的范圍內(nèi)觸發(fā)。觸發(fā)漏洞不需要身份驗(yàn)證或加密,” Synopsys 在其公告中寫道。
Synopsys 指出,利用這些漏洞的唯一要求是 Zephyr 驅(qū)動(dòng)的設(shè)備處于廣告模式并接受連接。
Synopsys 網(wǎng)絡(luò)安全研究中心的高級(jí)軟件工程師 Matias Karhumaa在接受The Register采訪時(shí)分享說,智能手表、健身追蹤器等藍(lán)牙設(shè)備和連續(xù)血糖監(jiān)測(cè)傳感器等醫(yī)療設(shè)備以廣告模式運(yùn)行,以方便外部設(shè)備連接到它們。
就在上個(gè)月,法國信息系統(tǒng)安全局 (ANSSI) 的研究人員在兩個(gè)關(guān)鍵的藍(lán)牙服務(wù)中發(fā)現(xiàn)了許多漏洞,這些漏洞可能被利用來允許攻擊者劫持配對(duì)請(qǐng)求以執(zhí)行 Man-in -the-Middle (MitM) 攻擊。
當(dāng)被問及 Zephyr 藍(lán)牙漏洞的可利用性時(shí),Karhumaa 分享說,他認(rèn)為企業(yè)不應(yīng)該花時(shí)間試圖弄清楚一個(gè)漏洞是否可以在現(xiàn)實(shí)世界中被利用,而應(yīng)該努力“使其易于識(shí)別、復(fù)制、并解決漏洞,而不管它們的可利用性如何。”
根據(jù) Synopsys 的公告,這些漏洞早在 2021 年 3 月就已與 Zephyr 共享,Zephyr 立即開始修復(fù)這些漏洞,最終在 6 月初發(fā)布的 Zephyr 2.6.0 中對(duì)所有報(bào)告的漏洞進(jìn)行了修補(bǔ)。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。