IT之家 12 月 8 日消息,SkySafe 研究员 Marc Newlin 于 12 月 6 日发布 GitHub 博文,披露了一个高危的蓝牙漏洞,影响安卓、iOS、Linux 和 macOS 设备。
该漏洞追踪编号为 CVE-2023-45866,是一种身份绕过漏洞,可以追溯到 2012 年,攻击者利用该漏洞,可以在未经用户确认的情况下,诱骗蓝牙主机状态,从而配对虚假键盘,注入攻击以受害者的身份执行代码。
Newlin 表示在蓝牙规范中,配对机制底层未经身份验证,从而被攻击者利用。他表示,完整的漏洞细节和概念验证脚本会在后续的会议上公开演示。
Cyware 总监艾米丽・菲尔普斯(Emily Phelps)表示,攻击者利用该漏洞,在无需身份验证的情况下,可以远程控制受害者的设备,具体取决于系统,可以下载应用程序、发送消息或运行各种命令。
IT之家此前报道,谷歌发布的 12 月安卓安全更新,已经修复了 CVE-2023-45866 漏洞。此外关于该漏洞的更详细信息,可以访问 GitHub 博文。
相关阅读:
《谷歌 12 月更新修复“关键”漏洞:无需用户交互,可远程执行任意代码》
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。