首页 > 清静研究 > 清静转达 > 清静简讯

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据

宣布时间 2019-08-15

1、微软修复RDP服务中的新蠕虫级误差

微软在8月份的Windows清静更新中修复了94个误差，其中包括4个新的RDP远程代码执行误差（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。其中CVE-2019-1181和CVE-2019-1182与5月份曝出的BlueKeep误差（CVE-2019-0708）类似，可实现蠕虫化攻击，受影响的系统版本包括win 7 SP1、win 8.1、win 10以及windows server 2008 R2 SP1、2012、2012 R2、2016及2019等。XP、windows server 2003及2008不受影响。现在尚未发明这些误差在野外被使用，但微软强烈建议用户尽快更新修复补丁。

原文链接：https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-windows-10-wormable-remote-desktop-flaws/

2、Intel宣布NUC固件更新，修复多个误差

尊龙凯时·(中国区)人生就是搏!

Intel宣布NUC Kit的固件更新，修复可导致提权、拒绝服务以及信息泄露的误差。该误差（CVE-2019-11140，CVSS评分为7.5）是由于不充分的验证导致的，可被具有外地会见权限的攻击者所使用，受影响的产品型号包括Intel NUC Kit NUC7i7DNx、NUC7i5DNx、NUC7i3DNx以及Compute Stick STK2MV64CC和Compute Card CD1IV128MK。别的，Intel还修复了处置惩罚器识别工具中的误差（CVE-2019-11163，CVSS评分为8.2）以及RAID治理软件中的误差（CVE-2019-0173，CVSS评分6.8）。更多误差列表请参考以下链接。

原文链接：https://www.bleepingcomputer.com/news/security/intel-updates-nuc-firmware-to-patch-high-severity-bug/

3、HTTP/2曝出8个新误差，可用于提倡DoS攻击

研究职员披露HTTP/2协议实现中的8个新误差，攻击者可使用这些误差向未修补的服务器提倡拒绝服务攻击。这些误差（CVE-2019-9511~CVE-2019-9518）是由Netflix研究员Jonathan Looney以及Google研究员Piotr Sikora发明的，可用于触发服务器的资源耗尽，但不可用于入侵服务器。凭证CERT宣布的通告，受影响的厂商包括NGINX、Apache、H2O、Nghttp2、Microsoft(IIS)、Cloudflare、Akamai、Apple(SwiftNIO)、Amazon、Facebook(Proxygen)、Node.js以及Envoy proxy，大大都厂商都已经宣布了修复补丁。

原文链接：https://thehackernews.com/2019/08/http2-dos-vulnerability.html

4、新蓝牙误差KNOB，可破解密钥和改动数据

尊龙凯时·(中国区)人生就是搏!

研究职员披露蓝牙中的新误差（CVE-2019-9506），该误差可允许攻击者暴力破解配对装备在传输数据时使用的密钥并改动数据。该误差影响了版本在1.0至5.1之间的Bluetooth BR/EDR装备。凭证研究职员的表述，攻击者可滋扰两台配对装备设置加密毗连的历程，镌汰使用的密钥的长度，使得密钥的清静性骤减。极端情形下，密钥长度可能被镌汰为1个字节。为了缓解该误差，蓝牙手艺同盟更新了蓝牙焦点规范，建议最小密钥长度为7个字节。微软也在误差（CVE-2019-9506）的补丁中将默认最小密钥长度设置为7个字节。

原文链接：https://www.bleepingcomputer.com/news/security/new-bluetooth-knob-flaw-lets-attackers-manipulate-traffic/

5、谷歌披露Windows中保存20年的误差，影响所有系统版本

尊龙凯时·(中国区)人生就是搏!

谷歌研究职员Tavis Ormandy披露Windows系统中保存长达20年的一个未修复误差。该误差影响了Windows XP以来的所有Windows版本，包括Win 10。该误差保存于微软的文本服务框架（MSCTF）中，与MSCTF客户端和服务器之间的通讯缺少会见控制/身份验证机制有关，攻击者可以使用该误差毗连到CTF会话、读写其它窗口/会话的内容、伪造线程ID/历程ID/HWND、伪装成CTF服务器、举行沙箱逃逸以及提权。攻击者还可以绕过用户接口权限隔离（UIPI），获取SYSTEM权限以及控制UAC对话框等。研究职员还宣布了在Win 10中获取SYSTEM的PoC视频。

原文链接：https://thehackernews.com/2019/08/ctfmon-windows-vulnerabilities.html

6、BioStar 2生物识别数据库泄露，波及数百万用户

尊龙凯时·(中国区)人生就是搏!

vpnMentor研究职员发明BioStar 2的一个Elasticsearch数据库可果真会见，导致数百万人的生物识别数据泄露。该数据库包括23GB数据（凌驾2780万条纪录），这些数据包括指纹/面部识别数据、未加密的用户名和密码以及员工的隐私信息。Biostar 2被集成到第三方系统中，例如Nedap的AEOS会见控制系统，该系统已被83个国家的5700多个组织使用，包括英国大都会警员局。受影响的公司还包括英国家居装饰商Tile Mountain以及印度和斯里兰卡的健身房Power World Gyms等。

原文链接：https://www.infosecurity-magazine.com/news/millions-of-records-exposed/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

清静研究

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据

7*24小时服务热线

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据