Lenovo 安全公告：LEN-27173

潜在影响：信息泄露、权限提升

严重性：高

影响范围：全行业

CVE ID：CVE-2019-9506

摘要描述：

正如 CERT 协调中心漏洞说明 VU#918987 中所报告的那样，蓝牙 BR/EDR 标准加密密钥协商协议容易受到数据包注入的影响，这可能允许未经身份验证的用户减小加密密钥的熵大小，从而可能导致信息泄露和/或通过相邻访问权限升级。任何使用蓝牙 BR/EDR 的系统或设备都可能受到影响，因为这是一个协议级漏洞。此漏洞被研究人员称为蓝牙密钥协商（KNOB）。

应采取哪些措施进行自我保护：

为了保护运行 Windows 的系统，Microsoft 发布了一个软件更新，该更新强制执行默认的 7 个字节的最小密钥长度，以确保密钥协商不会使加密变得无足轻重。安装更新时，默认禁用此功能。要缓解此漏洞的危害，客户必须应用 Microsoft 更新并通过在注册表中设置特定标志来启用更新的功能。查看 Microsoft 的公告，获取完整的缓解指导。

Lenovo 正在努力确定其他系统是否受到影响。如果有新信息，我们将提供更新。

参考资料：

CERT/CC 漏洞说明 VU#918987：https://www.kb.cert.org/vuls/id/918987

Microsoft 公告：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9506

蓝牙 SIG 声明：https://www.bluetooth.com/security/statement-key-negotiation-of-bluetooth/

修订历史：

修订版本：1

日期：2019-08-13

描述：初始版本

Lenovo 产品安全公告的完整版本，请单击此处。

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。