谷歌和英特爾警告說(shuō)，除了最新版本的Linux內(nèi)核外，其他所有版本的Linux內(nèi)核都存在高嚴(yán)重性藍(lán)牙漏洞。谷歌的一位研究人員表示，該漏洞允許攻擊者在藍(lán)牙范圍內(nèi)無(wú)縫執(zhí)行代碼，而英特爾則將該漏洞定性為提供特權(quán)升級(jí)或信息泄露。

該缺陷存在于BlueZ中，BlueZ是默認(rèn)實(shí)現(xiàn)Linux所有藍(lán)牙核心協(xié)議和層的軟件棧。除了Linux筆記本電腦，它還被用于許多消費(fèi)或工業(yè)物聯(lián)網(wǎng)設(shè)備。它適用于Linux 2.4.6及以后的版本。

到目前為止，人們對(duì)所謂的BleedingTooth漏洞知之甚少，這是谷歌工程師Andy Nguyen給出的名字，他表示將很快發(fā)表一篇博客文章。一個(gè)Twitte推文和一個(gè)YouTube視頻提供了最詳細(xì)的信息，給人的印象是，這個(gè)漏洞為附近的攻擊者提供了一種可靠的方式，可以在使用BlueZ進(jìn)行藍(lán)牙的脆弱Linux設(shè)備上執(zhí)行他們選擇的惡意代碼。

研究人員表示，BleedingTooth是Linux藍(lán)牙子系統(tǒng)中的一組零點(diǎn)擊漏洞，可以讓未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者在短距離內(nèi)在易受攻擊的設(shè)備上執(zhí)行具有內(nèi)核權(quán)限的任意代碼。與此同時(shí)，英特爾發(fā)布了一份公告，將該漏洞歸類(lèi)為特權(quán)升級(jí)或信息泄露漏洞，并且給這份編號(hào)CVE-2020-12351的漏洞分配了8.3分（滿分10分）的嚴(yán)重性，該漏洞是構(gòu)成BleedingTooth的三個(gè)不同的漏洞之一。

英特爾表示，BlueZ中的潛在安全漏洞可能允許特權(quán)升級(jí)或信息泄露，BlueZ正在發(fā)布Linux內(nèi)核修復(fù)程序來(lái)解決這些潛在的漏洞。英特爾是BlueZ開(kāi)源項(xiàng)目的主要貢獻(xiàn)者，它表示，修補(bǔ)漏洞的最有效方法是更新到Linux內(nèi)核5.9版本，該版本已于周日發(fā)布。無(wú)法升級(jí)到5.9版本的用戶可以安裝一系列內(nèi)核補(bǔ)丁。

但是，拋開(kāi)細(xì)節(jié)的缺乏不談，人們沒(méi)有太多的理由去擔(dān)心這樣的漏洞。像幾乎所有的藍(lán)牙安全漏洞一樣，BleedingTooth攻擊者需要接近一個(gè)脆弱的設(shè)備。它還需要高度專(zhuān)業(yè)化的知識(shí)，并且只對(duì)世界上一小部分藍(lán)牙設(shè)備有效。這些限制大大減少了能夠成功實(shí)施攻擊的人數(shù)。
責(zé)任編輯：YYX