Linux内核漏洞发现蓝牙相关漏洞, 或可被用作执行任意代码

安全 漏洞
一个在Linux内核中发现的新蓝牙缺陷引起了Google以及Intel两家科技巨头的注意,并且都相继发出了相关的安全警示。这个缺陷是在BlueZ软件堆栈中找到的,这个堆栈是用于在Linux上实现蓝牙核心协议的。

一个在Linux内核中发现的新蓝牙缺陷引起了Google以及Intel两家科技巨头的注意,并且都相继发出了相关的安全警示。这个缺陷是在BlueZ软件堆栈中找到的,这个堆栈是用于在Linux上实现蓝牙核心协议的。除了在Linux笔记本上有使用外,这个软件堆栈在诸如工业物联网设备等的消费级硬件中都有资泛的应用。

[[347170]]

Google的一位工程师Andy Nguyen把这个潜在漏洞命名为Bleeding Tooth,并且最近在其推特上表示这个缺陷是“Linux蓝牙子系统中的一系列无需点击(zero-click)漏洞,可以容许获得授权的攻击者在目标设备附近,以内核权限来执行任意代码”。

根据Andy Nguyen的说法,他是受到发现另外一个潜在漏洞BlueBorne的研究所启发,BueBorne可以让攻击者在没有用户进行任何点击操作的情况下向目标设计发送指令。

不过,虽然Andy Nguyen表示Bleeding Tooth缺陷可以容许攻击者在设备的蓝牙覆盖范围内执行任意代码,但是Intel则认为这个缺陷为攻击者提供了一种可以提升权限或者泄露信息的手段。

另外Intel也在其发送的安全警示中解释道,Bleeding Tooth其实是由3个独立的漏洞所组成的,分别是CVE-2020-12351、CVE-2020-12352以及CVE-2020-24490。除了第一个漏洞是8.3分的高危漏洞外,其他两个的CVSS得分只有5.3分。

Intel同时表示很快会有相关的Linux内核修补:

  • “BlueZ内的潜在安全漏洞或可导致权限提升以及信息泄露。BlueZ将会放出Linux内核的补丁来解决这个安全漏洞。”

 

责任编辑:未丽燕 来源: 超能网
相关推荐

2017-10-12 06:42:16

Tomcat代码漏洞

2021-11-08 11:52:17

漏洞LinuxLinux TIPC

2020-10-15 12:24:46

Linux漏洞攻击

2021-05-11 15:44:31

UbuntuLinux

2013-11-27 09:25:20

2020-10-18 10:11:01

漏洞

2017-05-11 22:53:49

2021-07-29 15:57:11

任意代码漏洞攻击

2009-05-31 15:34:37

2024-11-11 16:21:38

2024-10-08 21:22:17

2021-07-16 10:37:14

漏洞网络安全网络攻击

2021-10-31 14:51:02

WinRAR漏洞攻击

2014-11-04 10:30:32

新浪微博可登录任意账户

2023-07-07 15:44:12

漏洞网络安全

2013-11-01 14:26:13

2021-01-26 10:00:45

漏洞网络安全网络攻击

2015-03-06 15:31:01

2017-01-15 22:51:16

2010-05-11 10:35:38

点赞
收藏

51CTO技术栈公众号