博通爆安全漏洞,殃及苹果
美国计算机网路危机处理暨协调中心(CERT/CC)本周警告,博通(Broadcom)Wi-Fi芯片组所采用的Wl及brcmfmac驱动程序含有多个安全漏洞,将允许黑客执行服务阻断攻击,甚至可自远端执行任意程序,且祸延苹果、Synology及Zyxel等品牌的产品。
根据CERT/CC的说明,开源码驱动程序brcmfmac含有CVE-2019-9503及CVE-2019-9500两个安全漏洞,前者属于框架验证绕过漏洞,将允许黑客自远端传送韧体事件框架并绕过框架验证,后者则是个堆积缓冲区溢位漏洞,当启用了Wireless LAN的Wake-up功能时,只要传送恶意的事件框架就可触发该漏洞,能够开采芯片组以危害主机,或者结合CVE-2019-9503漏洞以执行远端攻击。目前,brcmfmac仅被应用在博通的FullMAC芯片组上。
至于由博通自行开发的Wl驱动程序亦含有2019-9501及2019-9502两个安全漏洞,它们皆属于堆积缓冲区溢位漏洞,若提供过长的制造商信息元件(vendor information element),便会触发相关漏洞。
倘若是SoftMAC芯片组安装了Wl,相关漏洞就会在主机的核心上被触发,若是在FullMAC安装Wl,漏洞则是在芯片组的韧体上被触发。
上述漏洞在大多数的情况下只会导致服务阻断,但黑客也可能藉由传送恶意的Wi-Fi封包,自远端执行任意程序。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
苹果
+关注
关注
61文章
23667浏览量
191588 -
wi-fi
+关注
关注
14文章
1974浏览量
122771 -
博通
+关注
关注
34文章
4297浏览量
106189
原文标题:重磅!博通爆安全漏洞,殃及苹果!
文章出处:【微信号:xinlun99,微信公众号:芯论】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名
据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
LG智能电视被曝存四安全漏洞,影响超9万台设备
该漏洞利用了3000/3001端口上运行的服务,主要为智能手机提供PIN接入功能。Bitdefender指出,虽然这些漏洞应仅限局域网使用,但Shodan扫描显示,约有91000台潜在易受攻击的LG设备。
iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad
据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
源代码审计怎么做?有哪些常用工具
源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。
下面是常用的源代码审计工具:
1、Fortify:通过内置的五大主要分析引擎,对源代码进行静态分析,并与特有的软件安全漏洞规则集进行全面
发表于 01-17 09:35
汽车网络安全:防止汽车软件中的漏洞
汽车网络安全在汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。
静态分析工具有助于执行关键的汽车编码指南(如MISRA和AUTOSAR C++14),并协助遵守功能安全
再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位
近日,国家信息安全漏洞库(CNNVD)公示2023年度新增技术支撑单位名单。经考核评定,聚铭网络正式入选并被授予《国家信息安全漏洞库(CNNVD)三级技术支撑单位证书》。 国家信息安全漏洞
统一系统脆弱性管理平台:让“网络安全漏洞”无处遁形
网络安全漏洞是网络节点的系统软件或应用软件在逻辑设计上的缺陷,漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使网络攻击者能够在未授权的情况下访问或破坏系统。 网络安
系统逻辑漏洞挖掘实践
当谈及安全测试时,逻辑漏洞挖掘一直是一个备受关注的话题,它与传统的安全漏洞(如SQL注入、XSS、CSRF)不同,无法通过WAF、杀软等安全系统的简单扫描来检测和解决。这类
如何降低网络安全漏洞被利用的风险
的领军企业——国联易安的产品市场专家给出了答案: 一是明白什么是网络安全漏洞。网络安全漏洞也称为脆弱性,是信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的可被威胁利用的缺陷,这些缺陷存在于件
苹果发布iOS/ iPadOS 15.7.9 和 macOS 12.6.9/11.7.10 更新
就在2023年苹果秋季发布会的前夕苹果公司面向仍在运行旧版系统的用户,发布了 iOS / iPadOS 15.7.9、macOS 12.6.9 和 macOS 11.7.10 更新,本次更新重点修复了追踪编号为 CVE-2023-41064 的
AMD Zen2全家都有严重安全漏洞!
Google信息安全研究员Tavis Ormandy披露了他独立发现的存在于AMD Zen2架构产品中的一个严重安全漏洞“Zenbleed”(Zen在流血)。
IBM 最新报告:安全漏洞成本飙升,但半数存在漏洞企业不愿增加安全投入
万美元,创该报告有史以来以来最高记录,也较过去3年均值增长了15%。同一时期内,检测安全漏洞和漏洞恶化带来的
IBM 最新报告:安全漏洞成本飙升,但半数存在漏洞企业不愿增加安全投入
以来最高记录,也较过去 3 年均值增长了 15%。同一时期内,检测安全漏洞和漏洞恶化带来的安全成本上升了 42%,占安全漏
利用SDR发现射频安全漏洞
在当今的无线和5G时代,公司和个人在其物联网资产上遇到越来越多的安全威胁。任何拥有低成本无线电设备的人都可以拦截无线射频信号,并使用开源软件进行解码,因此必须评估连接设计是否存在安全漏洞。这包括进行
工商网监
评论