首页 > 清静研究 > 清静转达 > 清静简讯

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据

宣布时间 2019-08-15

1、微软修复RDP服务中的新蠕虫级误差

微软在8月份的Windows清静更新中修复了94个误差，其中包括4个新的RDP远程代码执行误差（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。其中CVE-2019-1181和CVE-2019-1182与5月份曝出的BlueKeep误差（CVE-2019-0708）类似，可实现蠕虫化攻击，受影响的系统版本包括win 7 SP1、win 8.1、win 10以及windows server 2008 R2 SP1、2012、2012 R2、2016及2019等。XP、windows server 2003及2008不受影响。现在尚未发明这些误差在野外被使用，但微软强烈建议用户尽快更新修复补丁。

原文链接：https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-windows-10-wormable-remote-desktop-flaws/

2、Intel宣布NUC固件更新，修复多个误差

耀世娱乐-科技赋能场景,让娱乐更有趣。

Intel宣布NUC Kit的固件更新，修复可导致提权、拒绝服务以及信息泄露的误差。该误差（CVE-2019-11140，CVSS评分为7.5）是由于不充分的验证导致的，可被具有外地会见权限的攻击者所使用，受影响的产品型号包括Intel NUC Kit NUC7i7DNx、NUC7i5DNx、NUC7i3DNx以及Compute Stick STK2MV64CC和Compute Card CD1IV128MK。别的，Intel还修复了处置惩罚器识别工具中的误差（CVE-2019-11163，CVSS评分为8.2）以及RAID管理软件中的误差（CVE-2019-0173，CVSS评分6.8）。更多误差列表请参考以下链接。

原文链接：https://www.bleepingcomputer.com/news/security/intel-updates-nuc-firmware-to-patch-high-severity-bug/

3、HTTP/2曝出8个新误差，可用于提倡DoS攻击

研究职员披露HTTP/2协议实现中的8个新误差，攻击者可使用这些误差向未修补的服务器提倡拒绝服务攻击。这些误差（CVE-2019-9511~CVE-2019-9518）是由Netflix研究员Jonathan Looney以及Google研究员Piotr Sikora发明的，可用于触发服务器的资源耗尽，但不可用于入侵服务器。凭证CERT宣布的通告，受影响的厂商包括NGINX、Apache、H2O、Nghttp2、Microsoft(IIS)、Cloudflare、Akamai、Apple(SwiftNIO)、Amazon、Facebook(Proxygen)、Node.js以及Envoy proxy，大大都厂商都已经宣布了修复补丁。

原文链接：https://thehackernews.com/2019/08/http2-dos-vulnerability.html

4、新蓝牙误差KNOB，可破解密钥和改动数据

耀世娱乐-科技赋能场景,让娱乐更有趣。

研究职员披露蓝牙中的新误差（CVE-2019-9506），该误差可允许攻击者暴力破解配对装备在传输数据时使用的密钥并改动数据。该误差影响了版本在1.0至5.1之间的Bluetooth BR/EDR装备。凭证研究职员的表述，攻击者可滋扰两台配对装备设置加密毗连的历程，镌汰使用的密钥的长度，使得密钥的清静性骤减。极端情形下，密钥长度可能被镌汰为1个字节。为了缓解该误差，蓝牙手艺同盟更新了蓝牙焦点规范，建议最小密钥长度为7个字节。微软也在误差（CVE-2019-9506）的补丁中将默认最小密钥长度设置为7个字节。

原文链接：https://www.bleepingcomputer.com/news/security/new-bluetooth-knob-flaw-lets-attackers-manipulate-traffic/

5、谷歌披露Windows中保存20年的误差，影响所有系统版本

耀世娱乐-科技赋能场景,让娱乐更有趣。

谷歌研究职员Tavis Ormandy披露Windows系统中保存长达20年的一个未修复误差。该误差影响了Windows XP以来的所有Windows版本，包括Win 10。该误差保存于微软的文本服务框架（MSCTF）中，与MSCTF客户端和服务器之间的通讯缺少会见控制/身份验证机制有关，攻击者可以使用该误差毗连到CTF会话、读写其它窗口/会话的内容、伪造线程ID/历程ID/HWND、伪装成CTF服务器、举行沙箱逃逸以及提权。攻击者还可以绕过用户接口权限隔离（UIPI），获取SYSTEM权限以及控制UAC对话框等。研究职员还宣布了在Win 10中获取SYSTEM的PoC视频。

原文链接：https://thehackernews.com/2019/08/ctfmon-windows-vulnerabilities.html

6、BioStar 2生物识别数据库泄露，波及数百万用户

耀世娱乐-科技赋能场景,让娱乐更有趣。

vpnMentor研究职员发明BioStar 2的一个Elasticsearch数据库可果真会见，导致数百万人的生物识别数据泄露。该数据库包括23GB数据（凌驾2780万条纪录），这些数据包括指纹/面部识别数据、未加密的用户名和密码以及员工的隐私信息。Biostar 2被集成到第三方系统中，例如Nedap的AEOS会见控制系统，该系统已被83个国家的5700多个组织使用，包括英国大都会警员局。受影响的公司还包括英国家居装饰商Tile Mountain以及印度和斯里兰卡的健身房Power World Gyms等。

原文链接：https://www.infosecurity-magazine.com/news/millions-of-records-exposed/

7*24小时服务热线

400-624-3900

官方微信

官方微博

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静团队

售后服务

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据

关于耀世娱乐

解决计划

清静研究

联系耀世娱乐

7*24小时服务热线

投资者关系

清静研究

谷歌披露Windows中保存20年的误差 ，影响所有系统版本；蓝牙误差KNOB ，可破解密钥和改动数据

7*24小时服务热线

谷歌披露Windows中保存20年的误差，影响所有系统版本；蓝牙误差KNOB，可破解密钥和改动数据