按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

Google 與 Intel 力促 Linux 用戶升級作業系統核心,以避免藍牙漏洞 BleedingTooth 的資安風險

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-10-19
  • 點閱次數:3425
Google 與 Intel 力促 Linux 用戶升級作業系統核心,以避免藍牙漏洞BleedingTooth 的資安風險 TWCERT/CC

Google 與 Intel 日前共同針對 Linux 的藍牙嚴重資安漏洞發布資安通報,力促用戶升級 Linux 核心,以免遭駭。

Google 與 Intel 日前共同針對 Linux 藍牙通訊協定堆疊的嚴重資安漏洞 BleedingTooth 發布資安通報,力促用戶升級 Linux 核心至 5.10 以上版本,以避免遭駭侵者利用此漏動發動攻擊。

這個稱為 BleedingTooth 的漏洞,發生在 Linux 使用的開源藍牙通訊協定堆疊 BlueZ 程式庫上;Linux 自核心版本 2.4.6 就開始使用 BlueZ 處理藍牙通訊。據 Google 發表的資安通報指出,駭侵者可利用特製的 l2cap 輸入封包誘發 BleedingTooth 漏洞,從而提升程式碼執行權限,進行 DoS 攻擊或以核心權限執行任意程式碼。

這個編號為 CVE-2020-12351 的漏洞,其 CVSS 危險程度評分高達 8.3 分;由於許多具備藍牙連線能力的 IoT 裝置,多半也使用 Linux 做為作業系統,因此潛在可能遭駭的裝置數量極多。

Google 也在 GitHub 中發布了利用 BleedingTooth 攻擊 Linux BlueZ 的概念實作程式碼。

Intel 也在近日針對 BleedingTooth 漏洞發表資安通報,指出 BlueZ 已經提供 Linux 核心程式碼的修補更新,用戶應即將裝置內的 Linux 核心升級至 5.10 或更新版本,以修補 BlueZ 漏洞。

  • CVE編號:CVE-2020-12351
  • 解決方案:將裝置內的 Linux 核心升級至 5.10 或更高版本
回頁首