Новости CVE-2023-45866: уязвимость в Bluetooth позволяет удаленно управлять Apple и Linux устройствами

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Баг не могли обнаружить более 10 лет.


4y5xho37otbe5uu5cmzel3jkc5rbvuoj.jpg


Инженер-программист из компании SkySafe, Для просмотра ссылки Войди или Зарегистрируйся , обнаружил опасную уязвимость в Bluetooth , существующую примерно с 2012 года. Этот баг позволяет злоумышленникам подключаться к устройствам Apple , Android и Linux без аутентификации и вводить произвольные команды. Ошибка, получившая обозначение CVE-2023-45866, не требует специального оборудования для эксплуатации, что делает её особенно опасной.

По словам исследователя, такую атаку можно осуществить через стандартный Bluetooth-адаптер на компьютере с операционной системой Linux.

В посте Ньюлина на GitHub говорится следующее: «Дефект позволяет обмануть механизм Bluetooth-сопряжения, заставив устройство подключить поддельную клавиатуру без аутентификации. Алгоритм неаутентифицированного сопряжения прописан в протоколе самого Bluetooth, но ошибки в его реализации на программном уровне открывают двери для злоумышленников».

Ньюлин планирует представить детали уязвимости и демонстрационный код на ближайшей конференции, но все же хочет подождать, пока проблема не будет устранена. Он уже сообщил о ней Apple, Google, Canonical и Bluetooth SIG.

Это не первый подобный баг, обнаруженный Ньюлином. В 2016 году он выявил другие дефекты в Bluetooth, которые касались беспроводных мышей и клавиатур от 17 производителей.

Google заявляет, что исправления для версий Android 11-14 доступны производителям оригинального оборудования. Все поддерживаемые устройства Pixel получат обновление в декабре. Однако для Android 4.2.2 - 10 решения пока нет.

В Linux проблема была устранена в 2020 году, но большинство дистрибутивов, в том числе Ubuntu, Debian и другие, по умолчанию оставили обновление отключенным.

Уязвимость также затрагивает macOS и iOS. Угроза особенно актуальна, когда Bluetooth активирован и к устройству подключена клавиатура Magic Keyboard. Apple подтвердила наличие проблемы, но пока не делится планами по ее исправлению.
 
Источник новости
www.securitylab.ru

Похожие темы