Google 與 Intel 力促 Linux 用戶升級作業系統核心,以避免藍牙漏洞 BleedingTooth 的資安風險

Google 與 Intel 日前共同針對 Linux 藍牙通訊協定堆疊的嚴重資安漏洞 BleedingTooth 發布資安通報,力促用戶升級 Linux 核心至 5.10 以上版本,以避免遭駭侵者利用此漏動發動攻擊。

這個稱為 BleedingTooth 的漏洞,發生在 Linux 使用的開源藍牙通訊協定堆疊 BlueZ 程式庫上;Linux 自核心版本 2.4.6 就開始使用 BlueZ 處理藍牙通訊。據 Google 發表的資安通報指出,駭侵者可利用特製的 l2cap 輸入封包誘發 BleedingTooth 漏洞,從而提升程式碼執行權限,進行 DoS 攻擊或以核心權限執行任意程式碼。

這個編號為 CVE-2020-12351 的漏洞,其 CVSS 危險程度評分高達 8.3 分;由於許多具備藍牙連線能力的 IoT 裝置,多半也使用 Linux 做為作業系統,因此潛在可能遭駭的裝置數量極多。

Google 也在 GitHub 中發布了利用 BleedingTooth 攻擊 Linux BlueZ 的概念實作程式碼。

Intel 也在近日針對 BleedingTooth 漏洞發表資安通報,指出 BlueZ 已經提供 Linux 核心程式碼的修補更新,用戶應即將裝置內的 Linux 核心升級至 5.10 或更新版本,以修補 BlueZ 漏洞。

  • CVE編號:CVE-2020-12351
  • 解決方案:將裝置內的 Linux 核心升級至 5.10 或更高版本

相關連結

  1. TWCERT/CC https://www.twcert.org.tw/tw/cp-104-4073-dbde7-1.html
  2. CVE-2020-12351
  3. Linux: Heap-Based Type Confusion in L2CAP (BleedingTooth)
  4. BlueZ Advisory
  5. Google, Intel Warn on ‘Zero-Click’ Kernel Bug in Linux-Based IoT Devices

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top