Google alerta sobre falha grave do Bluetooth no kernel Linux

nova-falha-no-bluetooth-permite-que-cibercriminosos-controlem-dispositivos

O Google divulgou detalhes de uma falha que afeta a pilha Bluetooth nas versões do kernel Linux abaixo do Linux 5.9 que suportam BlueZ (BlueZ é encontrado em dispositivos IoT baseados em Linux). Portanto, atualize o kernel Linux para a versão 5.9 ou posterior.

Andy Nguyen, um engenheiro de segurança do Google, relatou os bugs à Intel. A Intel observa:

A validação de entrada inadequada no BlueZ pode permitir que um usuário não autenticado habilite potencialmente o escalonamento de privilégios.

Google alerta sobre falha do Bluetooth no kernel Linux

A Intel diz que o projeto BlueZ está lançando correções do kernel Linux para resolver a falha de alta gravidade, bem como correções para duas falhas de gravidade média.

Google alerta sobre falha grave do Bluetooth no kernel Linux
O Google divulgou detalhes de uma falha que afeta a pilha Bluetooth nas versões do kernel Linux abaixo do Linux 5.9 que suportam BlueZ.

O controle de acesso impróprio no BlueZ que pode permitir que um usuário não autenticado habilite potencialmente a divulgação de informações. Além disso, a falta de restrições de buffer adequadas pode permitir que um usuário não autenticado habilite a negação de serviço.

O Google detalhou os bugs no repositório de pesquisa de segurança do Google no GitHub. A descrição de Nguyen da vulnerabilidade BleedingTooth parece mais séria do que o artigo da Intel.

Nguyen diz que é uma falha de execução remota de código do Linux Bluetooth e publicou um pequeno vídeo demonstrando o ataque usando comandos em um laptop Dell XPS 15 executando o Ubuntu para abrir a calculadora em um segundo laptop Dell Ubuntu sem qualquer ação realizada no computador vítima.

O Google também publicou um código de exploração de prova de conceito para a vulnerabilidade BleedingTooth; e planeja publicar mais detalhes sobre o BleedingTooth em breve no blog de segurança do Google.

Em caso de dúvidas, entre no grupo do Sempre Update no Telegram.

Fonte: ZDNET

Bilhões de dispositivos vulneráveis à falha BLESA do Bluetooth

Vulnerabilidade abre milhões de dispositivos Bluetooth para ataques

Clonezilla Live tem Linux 5.4 LTS e suporte a Bluetooth