Google 與 Intel 力促 Linux 用戶升級作業系統核心,以避免藍牙漏洞BleedingTooth 的資安風險.png

Google 與 Intel 日前共同針對 Linux 的藍牙嚴重資安漏洞發布資安通報,力促用戶升級 Linux 核心,以免遭駭。

Google 與 Intel 日前共同針對 Linux 藍牙通訊協定堆疊的嚴重資安漏洞 BleedingTooth 發布資安通報,力促用戶升級 Linux 核心至 5.10 以上版本,以避免遭駭侵者利用此漏動發動攻擊。

這個稱為 BleedingTooth 的漏洞,發生在 Linux 使用的開源藍牙通訊協定堆疊 BlueZ 程式庫上;Linux 自核心版本 2.4.6 就開始使用 BlueZ 處理藍牙通訊。據 Google 發表的資安通報指出,駭侵者可利用特製的 l2cap 輸入封包誘發 BleedingTooth 漏洞,從而提升程式碼執行權限,進行 DoS 攻擊或以核心權限執行任意程式碼。

這個編號為 CVE-2020-12351 的漏洞,其 CVSS 危險程度評分高達 8.3 分;由於許多具備藍牙連線能力的 IoT 裝置,多半也使用 Linux 做為作業系統,因此潛在可能遭駭的裝置數量極多。

Google 也在 GitHub 中發布了利用 BleedingTooth 攻擊 Linux BlueZ 的概念實作程式碼。

Intel 也在近日針對 BleedingTooth 漏洞發表資安通報,指出 BlueZ 已經提供 Linux 核心程式碼的修補更新,用戶應即將裝置內的 Linux 核心升級至 5.10 或更新版本,以修補 BlueZ 漏洞。

  • CVE編號:CVE-2020-12351
  • 解決方案:將裝置內的 Linux 核心升級至 5.10 或更高版本
  • 參考連結

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12351

https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

https://threatpost.com/google-intel-kernel-bug-linux-iot/160067/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Google Intel Linux 作業系統 核心 藍牙 漏洞 BleedingTooth 更新
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄