Google e Intel advierten sobre un error de seguridad de Bluetooth de alta gravedad en Linux

Imagen estilizada de un candado flotante.

Google e Intel advierten de una falla de Bluetooth de alta gravedad en todas las versiones del kernel de Linux, excepto en la más reciente. Si bien un investigador de Google dijo que el error permite la ejecución de código sin problemas por parte de los atacantes dentro del rango de Bluetooth, Intel está caracterizando el error como una escalada de privilegios o la divulgación de información.

La falla reside en BlueZ, la pila de software que, de forma predeterminada, implementa todos los protocolos y capas centrales de Bluetooth para Linux. Además de las computadoras portátiles Linux, se usa en muchos dispositivos de Internet de las cosas industriales o de consumo. Funciona con las versiones de Linux 2.4.6 y posteriores.

En busca de detalles

Hasta ahora, poco se sabe sobre BleedingTooth, el nombre dado por el ingeniero de Google Andy Nguyen, quien dijo que una publicación de blog se publicará “pronto”. UN Hilo de Twitter y un Video de Youtube brindan la mayor cantidad de detalles y dan la impresión de que el error proporciona una forma confiable para que los atacantes cercanos ejecuten el código malicioso de su elección en dispositivos Linux vulnerables que usan BlueZ para Bluetooth.

“BleedingTooth es un conjunto de vulnerabilidades sin hacer clic en el subsistema de Bluetooth de Linux que puede permitir que un atacante remoto no autenticado a corta distancia ejecute código arbitrario con privilegios del kernel en dispositivos vulnerables”, dijo el investigador escribió. Dijo que su descubrimiento se inspiró en la investigación que condujo a BlueBorne, otro exploit de prueba de concepto que permitía a los atacantes enviar comandos de su elección sin requerir que los usuarios del dispositivo hagan clic en ningún enlace, se conecten a un dispositivo Bluetooth no autorizado o tomen cualquier otra acción breve. de tener Bluetooth activado.

A continuación se muestra el video de YouTube que demuestra cómo funciona el exploit.

BleedingTooth: Ejecución de código remoto de Linux Bluetooth Zero-Click

Intel, mientras tanto, ha emitió este aviso básico que categoriza la falla como vulnerabilidad de divulgación de información o escalada de privilegios. El aviso asignó una puntuación de gravedad de 8,3 de un posible 10 a CVE-2020-12351, uno de los tres errores distintos que componen BleedingTooth.

“Las posibles vulnerabilidades de seguridad en BlueZ pueden permitir la escalada de privilegios o la divulgación de información”, afirma el aviso. “BlueZ está lanzando correcciones del kernel de Linux para abordar estas posibles vulnerabilidades”.

Intel, que es uno de los principales contribuyentes al proyecto de código abierto BlueZ, dijo que la forma más efectiva de parchear las vulnerabilidades es actualizar a la versión 5.9 del kernel de Linux, que se publicó el domingo. Aquellos que no puedan actualizar a la versión 5.9 pueden instalar una serie de parches del kernel a los que se encuentran los enlaces de aviso. Los encargados de mantenimiento de BlueZ no respondieron de inmediato a los correos electrónicos solicitando detalles adicionales sobre esta vulnerabilidad.

Recent Articles

Keith Raniere sentenciado a 120 años de prisión en el juicio de NXIVM por “culto sexual”

El líder del llamado "culto sexual" NXIVM, Keith Raniere, ha sido sentenciado a 120 años de prisión, según la Oficina del Fiscal de Estados...

Cómo dejar de sentirse aplastado por el tiempo – Número 92: Fronteras

Sparingly estos días me encuentro pensando Tengo algo de tiempo para matar. El tiempo tiene una forma de escasear. Soy como un cazador-recolector del...

Hallan nuevo arrecife de coral más alto que la Torre Eiffel frente a la costa australiana

Científicos australianos encontraron un arrecife de coral separado en la Gran Barrera de Coral que supera la altura del Empire State Building y la...

Tendencias de hashtags: frustraciones de Facebook Oculus; Las empresas de telecomunicaciones del Reino Unido enfrentan nuevas reglas; La guerra contra Airbnb se calienta

Los usuarios no están sintiendo los nuevos logotipos de Google, Apple está en camino de desarrollar su propio motor de búsqueda y algo de...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí