历史上的今天
今天是:2024年11月04日(星期一)
2018年11月04日 | TI蓝牙芯片遭爆两个零时差漏洞,数百万无线AP陷风险,思科
2018-11-04 来源:ithome
以色列资安业者Armis本周揭露,由德州仪器(Texas Instruments,TI)所生产的低功耗蓝牙(Bluetooth Low Energy,BLE)芯片含有两个重大的安全漏洞, 成功开采相关漏洞的黑客将可入侵企业网络,掌控无线AP或散布恶意软件,包括思科、Meraki与Aruba的无线AP都采用了含有漏洞的蓝牙芯片,让全球数百万个企业AP拉警报。
Armis将所发现的漏洞命名为BLEEDINGBIT,第一个BLEEDINGBIT漏洞影响型号为CC2640及CC2650的TI BLE芯片,成功的开采可能造成BLE堆栈的内存损毁,可进一步危害AP的主系统, 并取得AP的完整控制权,不论是思科或Meraki的AP都采用了这两款芯片。
第二个BLEEDINGBIT漏洞则是藏匿在型号为CC2540的TI BLE芯片中,该芯片具备无线韧体下载(OAD)功能,以方便韧体更新,虽然该功能主要作为开发工具,但技术上来说仍是个后门,将允许近距离黑客存取并安装恶意韧体。
研究人员表示,此一OAD功能的默认配置并未含有安全机制,无法区隔可靠或可疑的韧体更新,让黑客得以滥用该功能并藉以渗透企业网络。
Armis执行长Yevgeny Dibrov指出,BLEEDINGBIT让黑客可无声无息地入侵企业网络,还能破坏网络区段,对企业安全而言无疑是记警钟。
TI已经修补了第一个漏洞,而思科、Meraki与Aruba也都在周四(11/1)释出安全更新,Armis则仍在评估BLEEDINGBIT漏洞所影响的范围。
Armis副总裁Ben Seri表示,目前该公司已确认BLEEDINGBIT漏洞危及网络装置,但这些芯片可能还被应用在其它型态的装置或设备中,从健康照护产业、工业、汽车业到零售业等, 随着有愈来愈多的连网设备采用诸如BLE等新协议,相关的安全风险也不容小觑。
史海拾趣
|
公司版STM32工作原理 晶振:老板,带两个秘书(电容),有时老板不在秘书说了算(内部时钟模式) 时钟PLL:老板娘,老板控制局面,但还是要听老板娘的话。 CPU:人力资源部,调动人员齐心合力 APB1,APB2时钟:部门经理,发布任务进度, ...… 查看全部问答> |
|
嵌入式系统的远程数据传输经常要使用公共通信线路这给数据安全带来隐患本文介绍的T E A 数据 加密算法高效可靠适用于资源有限的嵌入式系统同时文章还给出T E A 算法的一个应用实例… 查看全部问答> |
|
evc有没有打开文件夹对话框的api啊,SHBrowseForFolder()这个函数在evc里编译不过啊,还有没有其他的方法啊。 wince不会只能打开文件吧。 各位大虾帮帮忙啊!… 查看全部问答> |