新蓝牙漏洞曝光:追溯到 2012 年,攻击者可远程接管设备

安防资讯网 12 月 8 日消息,SkySafe 研究员 Marc Newlin 于 12 月 6 日发布 GitHub 博文,披露了一个高危的蓝牙漏洞,影响安卓、iOS、Linux 和 macOS 设备。

安防资讯网 12 月 8 日消息,SkySafe 研究员 Marc Newlin 于 12 月 6 日发布 GitHub 博文,披露了一个高危的蓝牙漏洞,影响安卓、iOS、Linux 和 macOS 设备。

该漏洞追踪编号为 CVE-2023-45866,是一种身份绕过漏洞,可以追溯到 2012 年,攻击者利用该漏洞,可以在未经用户确认的情况下,诱骗蓝牙主机状态,从而配对虚假键盘,注入攻击以受害者的身份执行代码。

Newlin 表示在蓝牙规范中,配对机制底层未经身份验证,从而被攻击者利用。他表示,完整的漏洞细节和概念验证脚本会在后续的会议上公开演示。

Cyware 总监艾米丽・菲尔普斯(Emily Phelps)表示,攻击者利用该漏洞,在无需身份验证的情况下,可以远程控制受害者的设备,具体取决于系统,可以下载应用程序、发送消息或运行各种命令。

IT之家此前报道,谷歌发布的 12 月安卓安全更新,已经修复了 CVE-2023-45866 漏洞。此外关于该漏洞的更详细信息,可以访问 GitHub 博文。

 

 

THE END
责任编辑:赵智华
免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
Baidu
map