Специалисты Google и Intel предупредили сразу о трех опасных ошибках в BlueZ – свободной реализации протокола беспроводной связи Bluetooth, которая применяется в дистрибутивах Linux, Chrome OS и множестве устройств интернета вещей (IoT, Internet of Things). Смартфоны под управлением основанной на ядре Linux ОС Android на этот раз вне опасности, поскольку в ней используется другой Bluetooth-стек – Fluoride.
Семейство уязвимостей, получившее название Bleedingtooth, позволяет злоумышленнику в радиусе действия Bluetooth выполнить произвольный код на уровне ядра Linux на целевом устройстве или получить доступ к конфиденциальной информации. Причем предварительное сопряжение девайсов не требуется, а атака протекает незаметно для жертвы и без ее активного участия.
Согласно опубликованным Intel данным, самой опасной уязвимости семейства Bleedingtooth подвержены все существующие версии ядра Linux, в которых присутствует BlueZ, то есть начиная с 2.4.6, вышедшей в 2001 г. В Google считают уязвимыми ядро версии 4.8, стабильная версия которого увидела свет в 2016 г., и более новые.
Горячие темы