-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden aangetroffen in Bluetooth-specificaties Advisory ID : NCSC-2021-0447 Versie : 1.00 Kans : medium CVE ID : CVE-2020-26555, CVE-2020-26556, CVE-2020-26557, CVE-2020-26558, CVE-2020-26559, CVE-2020-26560 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : medium Omzeilen van authenticatie Omzeilen van beveiligingsmaatregel Spoofing Toegang tot systeemgegevens Uitgiftedatum : 20210525 Toepassing : Bluetooth Versie(s) : Platform(s) : Beschrijving Onderzoekers hebben zeven kwetsbaarheden ontdekt in twee onderdelen van de Bluetooth-standaard. Specifiek gaat het om de Bluetooth Core Specification en Bluetooth Mesh Specification 1.0 en 1.0.1. De kwetsbaarheden stellen een kwaadwillende in staat om Bluetooth-apparaten te spoofen tijdens het pairingproces met een ander Bluetooth-apparaat of, in geval van een Mesh-netwerk, tijdens het provisioningproces. Daarnaast kunnen de kwetsbaarheden worden misbruikt voor het achterhalen van authenticatiegegevens die tijdens het pairing- of provisioningproces worden gebruikt. Succesvol misbruik van de kwetsbaarheden kan een kwaadwillende in staat stellen om een verbinding tot stand te brengen met een ander Bluetooth-apparaat of Bluetooth Mesh-netwerk. Hierdoor kan de kwaadwillende bijvoorbeeld toegang krijgen tot informatie die over de Bluetoothverbinding wordt verzonden of mogelijk de werking van een Bluetooth-apparaat beïnvloeden. Mogelijke oplossingen CERT/CC houdt een pagina bij met details over de kwetsbaarheden. Op die pagina wordt tevens vermeld welke leveranciers hebben aangegeven getroffen te zijn. Onder andere Android, Cisco, Intel en Red Hat komen in dit overzicht voor. Voor meer informatie, zie: https://kb.cert.org/vuls/id/799380 Deze NCSC-advisory wordt bijgewerkt zodra productupdates door de getroffen leveranciers beschikbaar worden gesteld. Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYKzvSuEs56R4sCd0AQq1KgwAmbn+ylg/o1T3arR6pekrEBCRZW3CQnuY TWdAhHLZdt7cX49zRzgFxoC5wlbCLWok+cEDMDAlKBdwLqsDgelbOhu4yyQyBB+k m/H5FuFXdSyua17dmYu1fm0fb6HtAZCVuQ3DUc1IqkpjKdwJQrAClQLxL1gbjWmT Y0buK7TrA01N4btqnubeWWxNRirtNdUj3mUc5pTNEC7WA3BbLbM3Ur9Sq4idj7Jx pbW6bdNggeAtCohx2XvYhpBRTH3P2sr31XVu+lkcsORxnM6LMgsYztEYF6jWGY6J 3fLPkLZX0Mp7ddYTnmQbFZ/1xFXqjJCtNaaGHVKn6Gp0sV47nvDylRitg8K7ZJFa jPav8oOd1g56weRpIJX6wYDMfKO8kkPDZ2W45BkNAmCXrDnH2snpZem/3p+NC5bw MvLvLpngnjPiYS6fhx/jW/QnMd9SaNzKIR0YeCRTF2eRp0cZecl+1OkcVZ5R0/xD V7Tx+F/MjjhPuarZloFXw9JaLydBhxuB =vkrs -----END PGP SIGNATURE-----