首页 > 安全钻研 > 安全传递 > 安全简讯

谷歌披露Windows中存在20年的缝隙，影响所有系统版本；蓝牙缝隙KNOB，可破解密钥和篡改数据

颁布功夫 2019-08-15

1、微软建复RDP服务中的新蠕虫级缝隙

微软在8月份的Windows安全更新中建复了94个缝隙，其中蕴含4个新的RDP远程代码执行缝隙（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。其中CVE-2019-1181和CVE-2019-1182与5月份曝出的BlueKeep缝隙（CVE-2019-0708）类似，可实现蠕虫化攻击，受影响的系统版本蕴含win 7 SP1、win 8.1、win 10以及windows server 2008 R2 SP1、2012、2012 R2、2016及2019等。XP、windows server 2003及2008不受影响。目前尚未发现这些缝隙在野表被利用，但微软强烈建议用户尽快更新建复补丁。

原文链接：https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-windows-10-wormable-remote-desktop-flaws/

2、Intel颁布NUC固件更新，建复多个缝隙

GA黄金甲·(中国区)官方网站

Intel颁布NUC Kit的固件更新，建复可导致提权、回绝服务以及信息泄露的缝隙。该缝隙（CVE-2019-11140，CVSS评分为7.5）是由于不充分的验证导致的，可被拥有本地接见权限的攻击者所利用，受影响的产品型号蕴含Intel NUC Kit NUC7i7DNx、NUC7i5DNx、NUC7i3DNx以及Compute Stick STK2MV64CC和Compute Card CD1IV128MK。此表，Intel还建复了处置器鉴别工具中的缝隙（CVE-2019-11163，CVSS评分为8.2）以及RAID治理软件中的缝隙（CVE-2019-0173，CVSS评分6.8）。更多缝隙列表请参考以下链接。

原文链接：https://www.bleepingcomputer.com/news/security/intel-updates-nuc-firmware-to-patch-high-severity-bug/

3、HTTP/2曝出8个新缝隙，可用于提议DoS攻击

钻研人员披露HTTP/2和谈实现中的8个新缝隙，攻击者可利用这些缝隙向未建补的服务器提议回绝服务攻击。这些缝隙（CVE-2019-9511~CVE-2019-9518）是由Netflix钻研员Jonathan Looney以及Google钻研员Piotr Sikora发现的，可用于触发服务器的资源耗尽，但不能用于入侵服务器。凭据CERT颁布的布告，受影响的厂商蕴含NGINX、Apache、H2O、Nghttp2、Microsoft(IIS)、Cloudflare、Akamai、Apple(SwiftNIO)、Amazon、Facebook(Proxygen)、Node.js以及Envoy proxy，大无数厂商都已经颁布了建复补丁。

原文链接：https://thehackernews.com/2019/08/http2-dos-vulnerability.html

4、新蓝牙缝隙KNOB，可破解密钥和篡改数据

GA黄金甲·(中国区)官方网站

钻研人员披露蓝牙中的新缝隙（CVE-2019-9506），该缝隙可允许攻击者暴力破解配对设备在传输数据时使用的密钥并篡改数据。该缝隙影响了版本在1.0至5.1之间的Bluetooth BR/EDR设备。凭据钻研人员的表述，攻击者可滋扰两台配对设备设置加密衔接的过程，削减使用的密钥的长度，使得密钥的安全性骤减。极端情况下，密钥长度可能被削减为1个字节。为了缓解该缝隙，蓝牙技术同盟更新了蓝牙主题规范，建议最幼密钥长度为7个字节。微软也在缝隙（CVE-2019-9506）的补丁中将默认最幼密钥长度设置为7个字节。

原文链接：https://www.bleepingcomputer.com/news/security/new-bluetooth-knob-flaw-lets-attackers-manipulate-traffic/

5、谷歌披露Windows中存在20年的缝隙，影响所有系统版本

GA黄金甲·(中国区)官方网站

谷歌钻研人员Tavis Ormandy披露Windows系统中存在长达20年的一个未建复缝隙。该缝隙影响了Windows XP以来的所有Windows版本，蕴含Win 10。该缝隙存在于微软的文本服务框架（MSCTF）中，与MSCTF客户端和服务器之间的通讯短缺接见节造/身份验证机造有关，攻击者能够利用该缝隙衔接到CTF会话、读写其它窗口/会话的内容、伪造线程ID/过程ID/HWND、假装成CTF服务器、进行沙箱逃逸以及提权。攻击者还能够绕过用户接口权限隔离（UIPI），获取SYSTEM权限以及节造UAC对话框等。钻研人员还颁布了在Win 10中获取SYSTEM的PoC视频。

原文链接：https://thehackernews.com/2019/08/ctfmon-windows-vulnerabilities.html

6、BioStar 2生物鉴别数据库泄露，波及数百万用户

GA黄金甲·(中国区)官方网站

vpnMentor钻研人员发现BioStar 2的一个Elasticsearch数据库可公开接见，导致数百万人的生物鉴别数据泄露。该数据库蕴含23GB数据（超过2780万笔纪录），这些数据蕴含指纹/面部鉴别数据、未加密的用户名和密码以及员工的隐衷信息。Biostar 2被集成到第三方系统中，例如Nedap的AEOS接见节造系统，该系统已被83个国度的5700多个组织使用，蕴含英国大城市警员局。受影响的公司还蕴含英国度居装璜商Tile Mountain以及印度和斯里兰卡的健身房Power World Gyms等。

原文链接：https://www.infosecurity-magazine.com/news/millions-of-records-exposed/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

谷歌披露Windows中存在20年的缝隙，影响所有系统版本；蓝牙缝隙KNOB，可破解密钥和篡改数据

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

谷歌披露Windows中存在20年的缝隙，影响所有系统版本；蓝牙缝隙KNOB，可破解密钥和篡改数据

7*24幼时服务热线

谷歌披露Windows中存在20年的缝隙，影响所有系统版本；蓝牙缝隙KNOB，可破解密钥和篡改数据