漏洞起因
设计错误
危险等级
中
影响系统
Kingston DataTraveler Secure Privacy Edition
Kingston DataTraveler Elite Privacy Edition
Kingston DataTraveler BlackBox
不受影响系统
危害
本地攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Kingston DataTraveler系列闪存盘。
漏洞信息
Kingston DataTraveler是包含多款带有加密模块的USB闪存盘。
Kingston DataTraveler USB闪存驱动存在多个安全漏洞,允许攻击者绕过密码保护机制获得存储在设备上的数据。
具体问题如下:
-Kingston DataTraveler USB闪存驱动没有针对回放攻击进行安全限制,物理可访问的攻击者可以通过已截获的数据流信息访问设备中的明文内容。
-Kingston DataTraveler USB闪存驱动使用内置的256位密钥访问明文存储的闪存数据,攻击者可以比较容易的获得密钥来读取或修改闪存设备中的数据。
-Kingston DataTraveler USB闪存驱动利用电脑上包含的应用程序而不是硬件设备上的程序来验证口令,导致本地攻击者可以通过修改程序访问闪存设备中的数据。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.kingston.com/driveupdate/
漏洞提供者
Matthias Deeg and Sebastian Schreiber (SySS)
0 条评论。