Linux内核中发现的一项新的蓝牙漏洞引起了谷歌和英特尔两大科技巨头的关注,并相继发布了相关安全警告其他。该缺陷是在BlueZ软件堆栈中发现的,该软件堆栈用于在Linux上实现蓝牙核心协议。除了用于Linux笔记本电脑之外,该软件堆栈还广泛用于工业物联网设备等消费级硬件。谷歌工程师AndyNguyen将潜在漏洞命名为BleedingTooth,并于近期发布推文称该漏洞是“Linux蓝牙子系统中的一系列零点击漏洞,允许经过授权的攻击者以内核权限在紧邻的位置执行任意代码”目标设备。”根据AndyNguyen的说法,他受到了发现另一个潜在漏洞BlueBorne的研究的启发,该漏洞允许攻击者向目标设计发送指令,而无需用户进行任何点击。然而,虽然AndyNguyen表示,BleedingTooth漏洞可能允许攻击者在设备的蓝牙覆盖范围内执行任意代码,但英特尔认为,该漏洞为攻击者提供了提升权限或泄露信息的手段。此外,英特尔还在其安全警报中解释称,BleedingTooth实际上由三个独立的漏洞组成,分别是CVE-2020-12351、CVE-2020-12352和CVE-2020-24490。除了第一个漏洞评分为8.3为高危漏洞外,其他两个CVSS评分仅为5.3。英特尔还表示,很快就会有相关的Linux内核补丁:“BlueZ中一个潜在的安全漏洞可能会导致权限提升和信息泄露,BlueZ将发布一个Linux内核补丁来解决这个安全漏洞。”
