パスワードを忘れた? アカウント作成
13939069 story
Windows

Microsoft、一部のBluetoothデバイスからWindowsへの接続を拒否するよう修正 48

ストーリー by hylom
そんな製品があるのか 部門より

headless曰く、

Windowsの更新プログラムではBluetoothデバイスとのペアリングや接続ができなくなるバグも発生しているが、6月の月例更新では脆弱性のある一部のBluetoothデバイスからの接続を拒否するよう修正を行ったそうだ(KB4507623SlashGearSoftpedia)。

該当する脆弱性CVE-2019-2102は、Bluetooth Low Energy(BLE)規格で提供されているサンプルのLong Term Key(LTK)をデバイスが実際のLTKとしてハードコードしている場合、ペアリングされたAndroidデバイスに対し近くにいる攻撃者がキーストロークを送信可能というものだ。Androidで影響を受けるのはAndroid 7.0~9で、セキュリティパッチレベル2019-06-01以降で修正(A-128843052)されている。

Microsoftによると、更新プログラムをインストールすることで、既知のキーを使用して通信を暗号化するデバイスのすべてが影響を受ける可能性があるとのこと。更新プログラムのインストール後にBluetooth接続の問題が発生した場合、デバイスの製造元に更新プログラムの有無を問い合わせるよう求めている。

この修正が含まれるのはWindows 10/Server 2016/Server 2019の累積更新プログラムおよび、Windows 8.1/Server 2012/Server 2012 R2/Embedded 8 Standardのマンスリーロールアップとセキュリティのみの更新プログラム。対象がBLEデバイス限定とは書かれていないが、Windows 7はBLEに対応していない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年06月21日 0時54分 (#3637440)

    Bluetoothデバイス側のバグに対処したセキュリティー更新だよね?
    サンプルコードをそのまま使って、暗号キーもそのまま使っちゃったBluetoothデバイスがあって、セキュリティーホールが見つかってリスクが高いのでブロックした、ってことでいいのかな。

    ってことは、MSは真っ当な対応した、ってことだね。

    どんなデバイスがやらかしたのか気になるねぇ…。
    Androidデバイスが対象ってことは、スマホ? スマホのファームウェアでサンプルコピペそのままってあるんかいな??

    • by Anonymous Coward

      やらかしてんのは安物のBTマウスやBTキーボードだろう。
      で、CVE-2019-2102では何故かそのやらかしデバイスではなく、
      やらかしデバイスとのペアリングを受け入れているホストが対象とされているっぽい。
      まぁそんな手抜き開発ではファームアップデートとか期待できる訳もないだろうし、
      デバイス側対応を最初から諦めて自衛しない事を脆弱性と言うしかない、って事なのかな。

      んで、AndroidもBTキーボード接続できるからホスト側として対象になってんだろう。
      古いAndroidが対象に入ってないのは、サポート終了済み扱いなだけかな……
      ほかツリーでiOSやMacOSは未対策って言ってるコメントあるし、
      古いAndroidや現行iOSやMacも軒並み対象リストに入れないとホントは駄目なんだろうね。

      でもこの理屈だと既知キーの埋め込みやキー漏洩が起きるたびにブラックリスト増えてって、
      随時リスト更新できない環境はリスト増える度に脆弱性がある扱いされる事になるな。
      デバイス側の問題やろがーい!

  • by Anonymous Coward on 2019年06月20日 21時45分 (#3637371)

    なんで20以上もコメントあって全部マイナスなんだよ。
    仕方ないから俺がまとめを書いておいてやるよ。

    • by Anonymous Coward

      ワロタ。近年稀に見るクソスレになりましたね。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...