一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)によると、複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne"に関する情報が公開されているとして、脆弱性を悪用された場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたりするなどの可能性があるとのことで注意喚起を促しています。
【対象範囲】
"BlueBorne" として報告されている一連の脆弱性は、複数の OS やデバイスが対象となります。影響を受ける対象の OS として次が挙げられています。- Android
- セキュリティ パッチ レベル 2017年 9月を適用していない Android
(CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)
- Windows
- 2017年 9月マイクロソフトセキュリティ更新プログラムを適用してい
ない Windows Vista 以降の Windows (CVE-2017-8628)
- Linux
- Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251)
- BlueZ すべてのバージョン (CVE-2017-1000250)
- iOS, tvOS
- iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前
(CVE-2017-14315)【対策】
OS の開発者より、本脆弱性に関する情報が提供されています。開発者からの情
報に注意し、アップデート等の対策を行ってください。- Android
Android Security Bulletin―September 2017
https://source.android.com/security/bulletin/2017-09-01- Windows
CVE-2017-8628 | Microsoft Bluetooth ドライバーのなりすましの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628- Linux
- RedHat
Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251
https://access.redhat.com/security/vulnerabilities/blueborne
CVE-2017-1000250
https://access.redhat.com/security/cve/CVE-2017-1000250
- ubuntu
Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250, CVE-2017-1000251 aka BlueBorne)
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne詳細;一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
PARTNER
