GoogleとIntelはLinuxの深刻な脆弱性を報告
GoogleとIntelは、Linuxカーネルの最新バージョン以外のすべての主要なBluetoothの不具合を警告した、とZDNetは報告した。
この欠陥は BlueZ にあり、デフォルトでは Linux 用のコアとなる Bluetooth プロトコルとレイヤーをすべて実装しているソフトウェアスタックです。
何千台ものLinuxノートパソコンに加えて、BlueZはLinuxをベースにしたインターネット接続を持つ他の多くの家庭用機器でも使用されています:コーヒーメーカー、冷蔵庫、オーブン、サーモスタット、ウェブカメラなど。
これ以上進めずに、BlueZ は Linux の公式 Bluetooth スタックです。
さらなるリスクを回避するために、インテルでは、Linuxカーネルをバージョン5.9以降にアップデートすることを障害通知で推奨しています。
“BlueZ の誤ったエントリの検証により、認証されていないユーザが隣接アクセスを介して特権の昇格を可能にする可能性があります。” と Intel は CVE-2020-12351 に対する勧告の中で指摘しています。
この欠陥はBleedingToothとまで呼ばれ、ゼロクリックの脆弱性です。つまり、Linuxコンピュータのユーザが何の操作もせずに悪用することができます。これは、Googleのサイバーセキュリティ研究者であるアンディ・グエン氏がTwitterの投稿で説明したものです。
9月、パデュー大学の専門家は、BlueZはBLESA(Bluetooth低電力フィッシング攻撃)に脆弱であると述べた。
BLESAはAndroid FluorideとiOSのBLEスタックにも影響を与えました。
GoogleはGitHubのリポジトリでBleedingToothのバグを詳細に説明しています。