Google 與 Intel 日前共同針對 Linux 藍牙通訊協定堆疊的嚴重資安漏洞 BleedingTooth 發布資安通報,力促用戶升級 Linux 核心至 5.10 以上版本,以避免遭駭侵者利用此漏動發動攻擊。
這個稱為 BleedingTooth 的漏洞,發生在 Linux 使用的開源藍牙通訊協定堆疊 BlueZ 程式庫上;Linux 自核心版本 2.4.6 就開始使用 BlueZ 處理藍牙通訊。據 Google 發表的資安通報指出,駭侵者可利用特製的 l2cap 輸入封包誘發 BleedingTooth 漏洞,從而提升程式碼執行權限,進行 DoS 攻擊或以核心權限執行任意程式碼。
這個編號為 CVE-2020-12351 的漏洞,其 CVSS 危險程度評分高達 8.3 分;由於許多具備藍牙連線能力的 IoT 裝置,多半也使用 Linux 做為作業系統,因此潛在可能遭駭的裝置數量極多。
Google 也在 GitHub 中發布了利用 BleedingTooth 攻擊 Linux BlueZ 的概念實作程式碼。
Intel 也在近日針對 BleedingTooth 漏洞發表資安通報,指出 BlueZ 已經提供 Linux 核心程式碼的修補更新,用戶應即將裝置內的 Linux 核心升級至 5.10 或更新版本,以修補 BlueZ 漏洞。
- CVE編號:CVE-2020-12351
- 解決方案:將裝置內的 Linux 核心升級至 5.10 或更高版本
