新蓝牙漏洞曝光:追溯到 2012 年,攻击者可远程接管设备

2023-12-08 08:07IT之家 - 故渊

IT之家 12 月 8 日消息,SkySafe 研究员 Marc Newlin 于 12 月 6 日发布 GitHub 博文,披露了一个高危的蓝牙漏洞,影响安卓、iOS、Linux 和 macOS 设备。

该漏洞追踪编号为 CVE-2023-45866,是一种身份绕过漏洞,可以追溯到 2012 年,攻击者利用该漏洞,可以在未经用户确认的情况下,诱骗蓝牙主机状态,从而配对虚假键盘,注入攻击以受害者的身份执行代码。

Newlin 表示在蓝牙规范中,配对机制底层未经身份验证,从而被攻击者利用。他表示,完整的漏洞细节和概念验证脚本会在后续的会议上公开演示。

Cyware 总监艾米丽・菲尔普斯(Emily Phelps)表示,攻击者利用该漏洞,在无需身份验证的情况下,可以远程控制受害者的设备,具体取决于系统,可以下载应用程序、发送消息或运行各种命令。

IT之家此前报道,谷歌发布的 12 月安卓安全更新,已经修复了 CVE-2023-45866 漏洞。此外关于该漏洞的更详细信息,可以访问 GitHub 博文

相关阅读:

谷歌 12 月更新修复“关键”漏洞:无需用户交互,可远程执行任意代码

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享