IT之家 12 月 8 日消息,SkySafe 研究員 Marc Newlin 于 12 月 6 日發(fā)布 GitHub 博文,披露了一個(gè)高危的藍(lán)牙漏洞,影響安卓、iOS、Linux 和 macOS 設(shè)備。
該漏洞追蹤編號(hào)為 CVE-2023-45866,是一種身份繞過漏洞,可以追溯到 2012 年,攻擊者利用該漏洞,可以在未經(jīng)用戶確認(rèn)的情況下,誘騙藍(lán)牙主機(jī)狀態(tài),從而配對(duì)虛假鍵盤,注入攻擊以受害者的身份執(zhí)行代碼。
Newlin 表示在藍(lán)牙規(guī)范中,配對(duì)機(jī)制底層未經(jīng)身份驗(yàn)證,從而被攻擊者利用。他表示,完整的漏洞細(xì)節(jié)和概念驗(yàn)證腳本會(huì)在后續(xù)的會(huì)議上公開演示。
Cyware 總監(jiān)艾米麗?菲爾普斯(Emily Phelps)表示,攻擊者利用該漏洞,在無(wú)需身份驗(yàn)證的情況下,可以遠(yuǎn)程控制受害者的設(shè)備,具體取決于系統(tǒng),可以下載應(yīng)用程序、發(fā)送消息或運(yùn)行各種命令。
IT之家此前報(bào)道,谷歌發(fā)布的 12 月安卓安全更新,已經(jīng)修復(fù)了 CVE-2023-45866 漏洞。此外關(guān)于該漏洞的更詳細(xì)信息,可以訪問 GitHub 博文。
相關(guān)閱讀:
《谷歌 12 月更新修復(fù)“關(guān)鍵”漏洞:無(wú)需用戶交互,可遠(yuǎn)程執(zhí)行任意代碼》
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。