Wi-Fi chip eszközöket érintő sérülékenység

CH azonosító: CH-14811 Cím: Wi-Fi chip eszközöket érintő sérülékenység Angol cím: Wi-Fi hardware device vulnerability

Publikálás dátuma: 2020.02.27. Utolsó módosítás dátuma: 2020.02.27.


Leírás

A CVE-2019-15126 számon a Cypress Semiconductor és Broadcom által készített, neves gyártók készülékeiben is megtalálható Wi-Fi hardware eszközöket érintő, alacsony kockázati besorolású sérülékenység vált ismertté, amelynek kihasználása bizalmas adatok szivárgásához vezethet.

Leírás forrása: Egyéb referencia: www.welivesecurity.com Leírás utolsó módosítása: 2020.02.27.


Elemzés leírás

A Cypress Semiconductor és Broadcom által készített Wi-Fi chip-ek számos nagy gyártó (többek között Apple, Samsung, Amazon, Google, Huawei) eszközeiben megtalálhatóak. Ezeket a népszerű Wi-Fi chip-eket használják a modern Wi-Fi-kompatibilis eszközökben, például okostelefonokban, táblagépekben, laptopokban, routerekben és IoT-eszközökben, így a becslések szerint a sérülékenység több mint egymilliárd eszközt érinthet.

A sérülékenység kihasználásához a támadónak kapcsolatmegszakításos állapotot (mikor nem képes az eszköz a hálózathoz csatlakozni) kell létrehoznia. Ez az állapot az érintett eszközökön küldött csomagok nem megfelelő titkosítását eredményezi, így a támadó az érintett csomagokat elkapva egyszerűen dekódolhatja azokat.

A hibát kijavító szoftverfrissítést már számos gyártó elérhetővé tette. Az eszköz típusától függően ez jelentheti az operációs rendszer legfrissebb verziójának telepítését (pl. Android, Apple és Windows eszközök), illetve egyes esetekben az eszköz firmware-jének frissítését (routerek, IoT eszközök).

Elemzés leírás forrása: Egyéb referencia: www.welivesecurity.com Elemzés leírás utolsó módosítása: 2020.02.27.


Hatás

CVSS3 Severity and Metrics

Base score: 3.1 (Alacsony)
Vector: AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Impact Score:
Exploitability Score:


Attack Vector (AV): Adjacent
Attack Complexity (AC): High
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): Low
Integrity Impact (I): None
Availability Impact (A): None

CVSS2 Severity and Metrics

Base score: (Nincs)
Vector:
Impact Subscore:
Exploitability Subscore:




Hivatkozások

Egyéb referencia: www.welivesecurity.com
Egyéb referencia: arstechnica.com
Egyéb referencia: www.zdnet.com
CVE: https://nvd.nist.gov/vuln/detail/CVE-2019-15126