ZeroClick, bug nei dispositivi bluetooth IoT basati su Linux

bugsoftware

L’allarme è stato lanciato da Google e Intel: BlueZ, lo stack di protocolli Bluetooth usato da Linux e che fornisce supporto ai dispositivi IoT, ha una grave falla di sicurezza.

La vulnerabilità, chiamata BleedingTooth, può essere sfruttata in un attacco “zero-click” tramite un input creato ad hoc da un utente locale non autenticato il che, potenzialmente, potrebbe portare all’escalation dei privilegi.

Zero-click” perché un utente malintenzionato che si trova a breve distanza e che conosce l’indirizzo bd (bluetooth) della vittima, può inviare un pacchetto l2cap (Logical Link Control and Adaptation Layer Protocol) compromesso e causare un denial of service o eseguire del codice arbitrario con privilegi elevati, questo secondo quanto spiegato da Google su GitHub.

Per questa vulnerabilità è stata aperta la CVE-2020-12351 e classificata come una type-confusion vulnerability ovvero un tipo di bug che può portare ad accedere a parti di memoria normalmente non raggiungibili (out-of-bounds memory access) e che renderebbe il sistema instabile.

Proof of Concept realizzata da Google:

La vulnerabilità colpisce gli utenti che utilizzano versioni del Kernel precedenti alla 5.9. BlueZ è presente nel Kernel Linux dalla versione 2.4.6.

La soluzione a tutte queste falle (ed in questo caso lo è) sarebbe tenere sempre tutto aggiornato… sempre che il vostro dispositivo IoT possa farlo!

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.

Fonte: https://www.miamammausalinux.org/2020/10/zeroclick-bug-nei-dispositivi-bluetooth-iot-basati-su-linux/

Visited 2 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.