EDA365欢迎您登录!
您需要 登录 才可以下载或查看,没有帐号?注册
x
本帖最后由 CE_Manager 于 2019-12-27 09:58 编辑 7 [1 `; I5 {$ B! c
6 m! z. [7 f1 N* G
TI蓝牙芯片遭爆两个零时差漏洞,数百万无线AP有风险 " C3 B& p V4 w/ Z, M) W
5 Y2 }1 C+ {1 ]0 q+ P8 b( X
以色列资讯安全厂商ARMis本周揭露,由德州仪器(Texas Instruments,TI)所生产的低功耗蓝牙(Bluetooth Low Energy,BLE)芯片含有两个重大的安全漏洞,成功开采相关漏洞的黑客将可入侵企业网络,掌控无线AP或散布恶意软件,包括思科、Meraki与Aruba的无线AP都采用了含有漏洞的蓝牙芯片,让全球数百万个企业AP拉警报。 Armis将所发现的漏洞命名为BLEEDINGBIT,第一个BLEEDINGBIT漏洞影响型号为CC2640及CC2650的TI BLE芯片,成功的开采可能造成BLE堆栈的内存损毁,可进一步危害AP的主系统,并取得AP的完整控制权,不论是思科或Meraki的AP都采用了这两款芯片。 第二个BLEEDINGBIT漏洞则是藏匿在型号为CC2540的TI BLE芯片中,该芯片具备无线固件下载(OAD)功能,以方便固件更新,虽然该功能主要作为开发工具,但技术上来说仍是个后门,将允许近距离黑客存取并安装恶意固件。 研究人员表示,此一OAD功能的默认配置并未含有安全机制,无法区隔可靠或可疑的固件更新,让黑客得以滥用该功能并藉以渗透企业网络。 Armis首席执行官Yevgeny Dibrov指出,BLEEDINGBIT让黑客可无声无息地入侵企业网络,还能破坏网络区段,对企业安全而言无疑是记警钟。 TI已经修补了第一个漏洞,而思科、Meraki与Aruba也都在周四(11/1)释出安全更新,Armis则仍在评估BLEEDINGBIT漏洞所影响的范围。
/ Z+ c$ V$ r3 x
2 w/ n4 u& D& I9 h" x: X% Q
! o% T' I: E4 C- p9 G% N4 v0 o) C) q7 Z
$ k/ X" {$ U3 ^$ N1 _/ r: T2 L | 
/1 
发表于 2019-12-27 09:58
收藏
淘帖
支持!
反对!
发表于 2020-4-19 16:52