蓝牙bug影响数以百万计的Wi-Fi接入点
安全公司 Armis 在德州仪器生产的蓝牙低功耗芯片发现了两个高危漏洞,能被利用入侵使用这些芯片的Wi-Fi 接入点。思科、Meraki 和 Aruba 出售的设备受到影响,补丁已经释出,受影响的用户需要尽可能快的更新。安全研究人员还给漏洞起了一个绰号叫 BLEEDINGBIT。
影响思科和 Meraki 设备的漏洞编号 CVE-2018-16986,它组合了堆溢出和溢出静态变量,能被用于破坏内存和执行恶意代码,利用该漏洞需要设备启用蓝牙低功耗和设备扫描,在默认情况下设备扫描是关闭的。影响 Aruba 设备的漏洞编号 CVE-2018-7080,是德州仪器内置在芯片中的 OTA 固件下载功能导致的。在实际中利用这两个漏洞还是有很大难度的。