发布日期：2010-01-07
更新日期：2010-01-08

受影响系统：

Verbatim Corporate Secure USB闪存
Verbatim Corporate Secure FIPS版USB闪存

描述：

---

BUGTRAQ  ID: 37678
CVE(CAN) ID: CVE-2010-0227,CVE-2010-0228,CVE-2010-0229

威宝Corporate Secure是系列带有加密模块的USB闪存盘。

Corporate Secure闪存没有防范口令回放攻击，物理访问的攻击者可以通过提供之前在USB数据流中所捕获的密钥访问明文的闪存内容。

Corporate Secure闪存使用了固定的256位密钥访问明文的闪存内容，攻击者可以相对容易的确定这个密钥来读取或修改数据。

Corporate Secure闪存使用运行在计算机上而不是设备硬件上的程序来验证口令，物理访问的攻击者通过修改过的程序来访问明文的闪存内容。

<*来源：SySS （http://www.syss.de/）
  
  链接：http://www.h-online.com/security/news/item/NIST-certified-USB-Flash-drives-with-hardware-encryption-cracked-895308.html?view=print
        http://securitytracker.com/alerts/2010/Jan/1023409.html
        http://blogs.zdnet.com/hardware/?p=6655
*>

建议：

---

厂商补丁：

Verbatim
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.verbatim.com/security/security-update.cfm

浏览次数：2129
严重程度：0（网友投票）