ComputerBase Menü
Aktuelles

News Windows: Unsichere Bluetooth-Geräte nach Juni-Update unbrauchbar

@naniii In etwa so wie bei 32bit Apps fuer macOS, oder inkompatiblen Apps fuer iOS. Gute Idee, das wuerde bestimmt einiges an Aerger ersparen und Vorbereitungszeit ermoeglichen
 
Schaby schrieb:
Hm, mein Kopfhörer und der XBox Controller sind auch mobil.
Zum Vergrößern anklicken....

Wenn man den weiterführenden Link in Microsofts Support-Dokument glauben schenken darf, geht es doch ausschließlich um Geräte mit Android.

Peripherie sollte somit doch ausgeschlossen sein. Oder verstehe ich das falsch?

In the Bluetooth Low Energy (BLE) specification, there is a provided example Long Term Key (LTK). If a BLE device were to use this as a hardcoded LTK, it is theoretically possible for a proximate attacker to remotely inject keystrokes on a paired Android host due to improperly used crypto. User interaction is not needed for exploitation. Product: Android. Versions: Android-7.0 Android-7.1.1 Android-7.1.2 Android-8.0 Android-8.1 Android-9. Android ID: A-128843052.
Zum Vergrößern anklicken....

Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2102

Jetzt wäre nur interessant zu wissen welche Geräte betroffen sind.
 
  • Gefällt mir
Reaktionen: Blau&Gruen
Kann man den Stick vorher irgendwie testen ob der mit dem neuen Update kompatibel ist ? Habe hier einen bald 15 Jahre alten BT 2.0 Stick von Hama der einwandfrei läuft. Will den ungerne wegschmeissen.
Auch liegen hier 2 neue mit 4.0 aber diese laufen nicht gescheit und haben ständig Disconnects. Brauch den auch nur für den DS3/4


Habe mich wohl verlesen, geht ja nur um die Endgeräte wie Soundbar gamepads etc.
Trotzdem wäre eine Übersicht seitens Microsoft empfehlenswert
 
Zuletzt bearbeitet:
@naniii
Ich denke eine Warnung mit ordentlicher Übergangsfrist (man muss immerhin ggf. ein Ersatzgerät besorgen) wäre das Mindeste gewesen, bevor man die Geräte komplett verbietet. Oder den Nutzern weiterhin die Wahl lassen und sie bei jedem verbinden nerven (=darauf hinweisen).
 
Und wie haben sich die Menschen vorgestellt soll man Bluetooth Lautsprecher Firmwaretechnisch updaten :O?
 
Viel Lärm um (fast) nichts, niemand weiß welche Geräte betroffen sind und vermutlich wird es wieder mal einen von 100000 betreffen. Aber mal fest auf Microsoft hindreschen weil die eine Sicherheitslücke schließen, wie können sie nur!
 
  • Gefällt mir
Reaktionen: Bulletchief, Influenca, joe65 und 9 andere
Bitte ein solches Treiber in den Wahnsinn Update für Windows 10 für Grafikarten, bitte für Grafikkarten. :D

Da wird Microsoft ganz dunkel in die Röhre schauen.

Es ist die Härte, wie Microsoft mit der Hardwarekompatibiltät und Funktionen seit Windows 10 umgeht und dabei sollte Microsoft genau wissen, wie komplex und teuer vernünftige Treiberentwicklung und Softwareunterstützung ist, die nicht nur generische Funktionen darstellt.

Billige Hardware hat doch längst den Markt überschwemmt und simple Controller Hardware hat ja den Zweck dem Kunden günstig und einfach den Zugang zu erlauben. Davon profitiert selbst Microsoft, weil Kunden Hardware mit Microsoft Software verbinden.

Wenn beispielhaft eine Kopplung mit einfacheren Android Smartphones und deren ungepflegten BT SoC Chipsätzen getrennt wird, dann wird Microsoft den Ruf bekommen nicht Android kompatibel zu sein, weil irgend ein Nutzer seine GPS Daten nicht vom Smartphone auf den PC übertagen kann und der Smartphone Hersteller so schon kein Update geliefert hat. Das wird noch lustiger bei den ganzen IoT Produkten.
 
  • Gefällt mir
Reaktionen: pedder59, CMDCake und Zero_Point
Visceroid schrieb:
Viel Lärm um (fast) nichts, niemand weiß welche Geräte betroffen sind und vermutlich wird es wieder mal einen von 100000 betreffen. Aber mal fest auf Microsoft hindreschen weil die eine Sicherheitslücke schließen, wie können sie nur!
Zum Vergrößern anklicken....
Sehe ich auch so, aber ich erwarte da durchaus von Microsoft eine Liste mit betroffenen Geräten. Es scheint ja nicht nur alte Geräte zu betreffen.
 
rocketworm schrieb:
Sehe ich auch so, aber ich erwarte da durchaus von Microsoft eine Liste mit betroffenen Geräten.
Zum Vergrößern anklicken....
Genau Microsoft kauft natürlich in jedem Land von jedem Hinterhändler den kompletten Ramsch einmal und testet die auf eine Sicherheitslücke - genau...
 
  • Gefällt mir
Reaktionen: perfid und areiland
...durch die unsichere Bluetooth-Geräte blockiert werden, die sich mit unsicheren Verschlüsselungskennwörtern verbinden möchten. Dies sind nach Angaben von Microsoft Schlüssel, die eigentlich eine sichere Verbindung verschlüsseln sollen, aber so weitläufig bekannt sind und eingesetzt werden, dass sie keinen effektiven Schutz mehr bieten...
Zum Vergrößern anklicken....
Ich schätze mal, Microsoft blockiert ganz einfach die Geräte, von denen diese bekannten und tausendfach verwendeten Schlüssel gesendet werden und merkt sie sich. Das dürfte dann wohl vor allem Billigheimer betreffen, deren Hersteller es völlig wurscht war, wie sicher ihre BT Geräte sind. Und deshalb haben die immer den gleichen, aus dem Internet zusammengeklaubten, Schlüssel verwendet.

Wahrscheinlich darf man diese Produkte dann auch völlig legitim in die Kategorie "ohne Lizenz von einer Marke abgekupferte Kopie" einsortieren. Damit wäre hier dann also auch niemand gross betroffen, sondern höchstens ein paar "Sparfüchse" und dubiose Händler, die andere gerne mal über den Tisch ziehen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: IgorGlock, FranzvonAssisi und perfid
Demnächst dann: "Tut uns leid, aber Ihr Prozessor ist leider aufgrund von Sicherheutslücken nicht mehr mit Windows kompatibel. Klicken Sie hier, um Informationen zum Kauf eines neuen Computers zu erhalten."
 
  • Gefällt mir
Reaktionen: mgutt, pedder59 und Zero_Point
Mal wieder viele Kiddies und Trolle unterwegs.

MS schließt eine Sicherheitslücke. Auch für BT gibt es gewisse Standards (die NICHT MS definiert) und nur weil einige Hersteller wahrscheinlich bei ihrer Firmware hinsichtlich der BT-Spezifikationen schlichtweg gepfuscht haben, ist es nur Konsequent alle Geräte auszuschließen, die einen gewissen Sicherheitsstandard, welcher vor zahlreichen Jahren definiert wurde, nicht erfüllen.

Wenn also ein geliebtes BT-Gerät nicht mehr funktionieren sollte, dann sollte man sich an den Hersteller wenden und fragen, warum dieser gepfuscht hat, und nicht an MS.
 
  • Gefällt mir
Reaktionen: Winder, IgorGlock, SIR_Thomas_TMC und 5 andere
Dovah schrieb:
MS schließt eine Sicherheitslücke. Auch für BT gibt es gewisse Standards (die NICHT MS definiert) und nur weil einige Hersteller wahrscheinlich bei ihrer Firmware hinsichtlich der BT-Spezifikationen schlichtweg gepfuscht haben, ist es nur Konsequent alle Geräte auszuschließen, die einen gewissen Sicherheitsstandard, welcher vor zahlreichen Jahren definiert wurde, nicht erfüllen.

Wenn also ein geliebtes BT-Gerät nicht mehr funktionieren sollte, dann sollte man sich an den Hersteller wenden und fragen, warum dieser gepfuscht hat, und nicht an MS.
Zum Vergrößern anklicken....
Und warum passiert das erst jetzt und nicht bereits bei Implementierung des Standards ins OS? Dann hätte der Kunde das Gerät wenigstens gleich zurückgeben können. So konnte er es jahrelang nutzen und aus heiterem Himmel funktioniert es nicht mehr. Nicht einmal einen Hinweis warum es nicht mehr geht scheint es zu geben.
 
Dovah schrieb:
Wenn also ein geliebtes BT-Gerät nicht mehr funktionieren sollte, dann sollte man sich an den Hersteller wenden und fragen, warum dieser gepfuscht hat, und nicht an MS.
Zum Vergrößern anklicken....

danke an microsoft... seit dem update kann ich an meinem (geschäftlichen) L570 mein (geschäftliches) pixel 3 nicht mehr als telefon über procall verwenden...
 
Zero_Point schrieb:
Und warum passiert das erst jetzt und nicht bereits bei Implementierung des Standards ins OS? Dann hätte der Kunde das Gerät wenigstens gleich zurückgeben können. So konnte er es jahrelang nutzen und aus heiterem Himmel funktioniert es nicht mehr. Nicht einmal einen Hinweis warum es nicht mehr geht scheint es zu geben.
Zum Vergrößern anklicken....

Ernsthaft? Warum werden wohl Sicherheitslücken bei MS, Apple, Linux, (also eigentl. allen) erst im Nachhinein geschlossen?
Es gibt gewisse Standards, welche nach etlichen Jahren von neuen Abgelöst werden, weil alte Sicherheitsmechanismen irgendwann geknackt werden. Siehe dazu zahlreiche Beispiele in der Verschlüsselung, RSA, SSLv1, SSLv2, SSLv3, TLSv1, etc. pp. - Mit anderen Verfahren verhält es sich genauso.
 
ClashHexmen schrieb:
Hätte man nicht einfach ne Abfrage einbauen können? "Achtung dieses Gerät ist unsicher. Möchten sie es trotzdem verbinden? Ja / Nein"
Zum Vergrößern anklicken....

Nein, das ist eine miese Idee.
 
  • Gefällt mir
Reaktionen: joe65, SIR_Thomas_TMC und piffpaff
godapol schrieb:
danke an microsoft... seit dem update kann ich an meinem (geschäftlichen) L570 mein (geschäftliches) pixel 3 nicht mehr als telefon über procall verwenden...
Zum Vergrößern anklicken....

Wende dich dazu an Google ^= Hersteller. Die bieten auch für andere Produkte Austauschprogramme an, bzw. prüfe ob's nicht ein passendes Update für dein Pixel 3 gibt. ;-)
 
Zero_Point schrieb:
Und warum passiert das erst jetzt und nicht bereits bei Implementierung des Standards ins OS?
Zum Vergrößern anklicken....
Weil MS nicht mal den dümmsten Fall beim Hersteller vorausschauen kann. Wie kann man als Hersteller so selten dämlich sein und einen Schlüssel, der in der Spezifikation als Beispiel vorgegeben ist, fest in seiner Hardware verwenden? Anscheinend ist nicht mal Google (Linux?) von so einer Dummheit ausgegangen und hat den Schlüssel nicht gesperrt. Nicht umsonst wird im CVE vorrangig Android erwähnt und Windows mit keinem Atemzug.

Das erinnert an die Mausproblematik in 8.1, wo viele Hersteller einfach zu dumm sind die Dokus ordentlich zu lesen und sich dann wundern, dass irgendwas nicht richtig läuft und Microsoft zu Workarounds in ihrem eigenen OS genötigt wird, weil Drittanbieter zu dämlich sind.
Zero_Point schrieb:
Nicht einmal einen Hinweis warum es nicht mehr geht scheint es zu geben.
Zum Vergrößern anklicken....
Ach komm schon, wirklich? Es wird sogar auf dem Silbertablett serviert!

791673


Damit meine ich die News, nicht den Eintrag im Event Log...
 
  • Gefällt mir
Reaktionen: Rickmer und Dovah
Dovah schrieb:
Ernsthaft? Warum werden wohl Sicherheitslücken bei MS, Apple, Linux, (also eigentl. allen) erst im Nachhinein geschlossen?
Es gibt gewisse Standards, welche nach etlichen Jahren von neuen Abgelöst werden, weil alte Sicherheitsmechanismen irgendwann geknackt werden. Siehe dazu zahlreiche Beispiele in der Verschlüsselung, RSA, SSLv1, SSLv2, SSLv3, TLSv1, etc. pp. - Mit anderen Verfahren verhält es sich genauso.
Zum Vergrößern anklicken....
Das heißt der Bluetoothstandard hat ganz plötzlich eine Sicherheitslücke bekommen und MS musste unbedingt in Kamikazemanier darauf reagieren?

Yuuri schrieb:
Weil MS nicht mal den dümmsten Fall beim Hersteller vorausschauen kann. Wie kann man als Hersteller so selten dämlich sein und einen Schlüssel, der in der Spezifikation als Beispiel vorgegeben ist, fest in seiner Hardware verwenden? Anscheinend ist nicht mal Google (Linux?) von so einer Dummheit ausgegangen und hat den Schlüssel nicht gesperrt. Nicht umsonst wird im CVE vorrangig Android erwähnt und Windows mit keinem Atemzug.
Zum Vergrößern anklicken....
Wie man denn als OS-Hersteller so selten dämlich sein und so einen Beispielschlüssel nicht von Anfang an sperren oder zumindest eine Warnung einbauen? Du darfst auch gerne Google an den Pranger stellen. Ich frage mich nur inwiefern es das Versagen von MS besser macht.

Yuuri schrieb:
Ach komm schon, wirklich? Es wird sogar auf dem Silbertablett serviert!
...
Damit meine ich die News, nicht den Eintrag im Event Log...
Zum Vergrößern anklicken....
Erkläre mir wie der normale Nutzer dieses Silbertablett bekommt. Und zwar schon am Dienstag, denn da wurde der Patch ausgerollt.
 
RYZ3N schrieb:
Wenn man den weiterführenden Link in Microsofts Support-Dokument glauben schenken darf, geht es doch ausschließlich um Geräte mit Android.

Peripherie sollte somit doch ausgeschlossen sein. Oder verstehe ich das falsch?



Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2102

Jetzt wäre nur interessant zu wissen welche Geräte betroffen sind.
Zum Vergrößern anklicken....

Mit Android(-Geräten), welche diese Sicherheitslücke ausnutzen können, lassen sich Injections vornehmen. Woher soll aber Windows wissen, welches Gerät sich da gerade mit dem Beispiel-Key (LTK) der in der BLE Spezifikation angegeben war, verbindet?
BT ist ja lediglich lediglich die Verbindungsschnittstelle, wie USB, HDMI, etc. Die Funktionalität des Geräts wird anschließend mittels Treiber erkannt. (Ums grob simpel auszudrücken)
 
  • Gefällt mir
Reaktionen: Winder und SVΞN
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
ASUS A95VM (K95VM) seit Win 11 Update unbrauchbar
Antworten
4
Aufrufe
1.737
TopManager
T
Saki75
Microsoft Edge nach heutigem update unbrauchbar
Antworten
7
Aufrufe
2.387
Donnidonis
D

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz