谷歌和英特爾警告說，除了最新版本的Linux內(nèi)核外，其他所有版本的Linux內(nèi)核都存在高嚴(yán)重性藍(lán)牙漏洞。谷歌的一位研究人員表示，該漏洞允許攻擊者在藍(lán)牙范圍內(nèi)無縫執(zhí)行代碼，而英特爾則將該漏洞定性為提供特權(quán)升級或信息泄露。

該缺陷存在于BlueZ中，BlueZ是默認(rèn)實現(xiàn)Linux所有藍(lán)牙核心協(xié)議和層的軟件棧。除了Linux筆記本電腦，它還被用于許多消費或工業(yè)物聯(lián)網(wǎng)設(shè)備。它適用于Linux 2.4.6及以后的版本。

到目前為止，人們對所謂的BleedingTooth漏洞知之甚少，這是谷歌工程師Andy Nguyen給出的名字，他表示將很快發(fā)表一篇博客文章。一個Twitte推文和一個YouTube視頻提供了最詳細(xì)的信息，給人的印象是，這個漏洞為附近的攻擊者提供了一種可靠的方式，可以在使用BlueZ進行藍(lán)牙的脆弱Linux設(shè)備上執(zhí)行他們選擇的惡意代碼。

研究人員表示，BleedingTooth是Linux藍(lán)牙子系統(tǒng)中的一組零點擊漏洞，可以讓未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者在短距離內(nèi)在易受攻擊的設(shè)備上執(zhí)行具有內(nèi)核權(quán)限的任意代碼。與此同時，英特爾發(fā)布了一份公告，將該漏洞歸類為特權(quán)升級或信息泄露漏洞，并且給這份編號CVE-2020-12351的漏洞分配了8.3分（滿分10分）的嚴(yán)重性，該漏洞是構(gòu)成BleedingTooth的三個不同的漏洞之一。

英特爾表示，BlueZ中的潛在安全漏洞可能允許特權(quán)升級或信息泄露，BlueZ正在發(fā)布Linux內(nèi)核修復(fù)程序來解決這些潛在的漏洞。英特爾是BlueZ開源項目的主要貢獻者，它表示，修補漏洞的最有效方法是更新到Linux內(nèi)核5.9版本，該版本已于周日發(fā)布。無法升級到5.9版本的用戶可以安裝一系列內(nèi)核補丁。

但是，拋開細(xì)節(jié)的缺乏不談，人們沒有太多的理由去擔(dān)心這樣的漏洞。像幾乎所有的藍(lán)牙安全漏洞一樣，BleedingTooth攻擊者需要接近一個脆弱的設(shè)備。它還需要高度專業(yè)化的知識，并且只對世界上一小部分藍(lán)牙設(shè)備有效。這些限制大大減少了能夠成功實施攻擊的人數(shù)。
責(zé)任編輯：YYX