在Linux内核中,最近发现了一个新的蓝牙缺陷,吸引了两个技术巨头Google和Intel的注意,并相继发出了相关的安全警告。
该缺陷在BlueZ软件堆栈中发现,该堆栈用于在Linux上实现Bluetooth核心协议。
除了在Linux笔记本电脑上使用之外,该软件堆栈还广泛用于消费类硬件(例如工业IoT设备)中。
Google的工程师Andy Nguyen将此潜在漏洞称为Bleeding Tooth,最近在他的Twitter上指出,该漏洞是“ Linux蓝牙子系统中的一系列零点击漏洞,可以允许经过授权的攻击者位于目标设备附近”并以内核特权执行任意代码”。
据安迪·阮(Andy Nguyen)称,他的灵感来自于发现了另一个潜在漏洞BlueBorne的研究。
BueBorne允许攻击者无需任何用户单击即可将指令发送到目标设计。
但是,尽管安迪·阮(Andy Nguyen)表示,“出血牙”漏洞可以使攻击者在设备的蓝牙覆盖范围内执行任意代码,但英特尔相信,该漏洞为攻击者提供了一种提升权限或泄漏信息的方法。
此外,英特尔在其安全警报中解释说,出血牙实际上由三个单独的漏洞组成,即CVE-2020-12351,CVE-2020-12352和CVE-2020-24490。
除了第一个漏洞是高风险漏洞,其得分为8.3,其他两个漏洞的CVSS得分仅为5.3分。
英特尔还表示,很快将有相关的Linux内核补丁。