微軟封鎖Windows PC和不安全的藍牙版FIDO密鑰配對

有鑒於藍牙版本安全密鑰的安全性問題，微軟周二發出安全公告指出，將封鎖有漏洞的藍牙（BLE）FIDO安全密鑰和Windows PC的配對。

近日BLE版FIDO硬體安全密鑰爆發漏洞CVE-2019-2102。這項漏洞出自藍牙配對協議的組態錯誤。在BLE配置中有一個長期密鑰（Long Term Key，LTK）示範樣本，如果BLE設備採用此樣本來寫成LTK，理論上，位於藍牙設備附近的攻擊者可以用他的設備（手機或筆記本電腦）搶先用戶一步連接BLE密鑰來登錄用戶賬戶，或是用其設備冒充BLE密鑰來連上用戶的設備，進一步在受害設備上輸入指令或刪改數據。

為此，微軟已經在周二（6月11日）發布的每月例行安全更新中，封鎖問題產品與Windows的配對。

CVE-2019-2102即是和上個月Titan藍牙版安全密鑰發現的同一漏洞，促使Google回收並換新產品。受到該漏洞影響的產品，包括Google Titan藍牙版安全密鑰及中國廠商Feitian出品的MultiPass FIDO Security Key部分型號。Google也在上周於Android更新中修補了CVE-2019-2102。

微軟建議用戶應儘快安裝6月的Windows安全更新，並隨時注意Google Android及Feitian的安全公告。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！