谷歌英特尔发现Linux内核中的蓝牙缺陷,可用来执行任意代码

电子说

1.3w人已加入

描述

一个在Linux内核中发现的新蓝牙缺陷引起了Google以及Intel两家科技巨头的注意,并且都相继发出了相关的安全警示。这个缺陷是在BlueZ软件堆栈中找到的,这个堆栈是用于在Linux上实现蓝牙核心协议的。除了在Linux笔记本上有使用外,这个软件堆栈在诸如工业物联网设备等的消费级硬件中都有资泛的应用。

Google的一位工程师Andy Nguyen把这个潜在漏洞命名为Bleeding Tooth,并且最近在其推特上表示这个缺陷是“Linux蓝牙子系统中的一系列无需点击(zero-click)漏洞,可以容许获得授权的攻击者在目标设备附近,以内核权限来执行任意代码”。

根据Andy Nguyen的说法,他是受到发现另外一个潜在漏洞BlueBorne的研究所启发,BueBorne可以让攻击者在没有用户进行任何点击操作的情况下向目标设计发送指令。

不过,虽然Andy Nguyen表示Bleeding Tooth缺陷可以容许攻击者在设备的蓝牙覆盖范围内执行任意代码,但是Intel则认为这个缺陷为攻击者提供了一种可以提升权限或者泄露信息的手段。

另外Intel也在其发送的安全警示中解释道,Bleeding Tooth其实是由3个独立的漏洞所组成的,分别是CVE-2020-12351、CVE-2020-12352以及CVE-2020-24490。除了第一个漏洞是8.3分的高危漏洞外,其他两个的CVSS得分只有5.3分。

Intel同时表示很快会有相关的Linux内核修补:

“BlueZ内的潜在安全漏洞或可导致权限提升以及信息泄露。BlueZ将会放出Linux内核的补丁来解决这个安全漏洞。”
责编AJX

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分