Google工程师Andy Nguyen通过Twitter线程报告,在运行名为BlueZ的蓝牙软件堆栈的Linux操作系统中发现了一个新的安全漏洞。Nguyen将该漏洞命名为BleedingTooth,并在其Twitter帖子中声称该漏洞允许附近的黑客执行零点击的根级代码执行。
Linux是一种操作系统非常类似Unix的这十多年来走红前,是一个研究和教育工具,由于其开放源代码许可和零成本。近年来,它已用于创建专用应用程序-例如,NASA将其用于许多太空应用程序。它也因制造物联网(IoT)设备的公司而变得流行,因为它使他们可以避免使用费。
在这项新工作中,Nguyen发现了一个漏洞,该漏洞使蓝牙信号范围内的黑客能够获得对运行BlueZ的计算机或设备的root访问权限。值得注意的是,许多物联网设备使用BlueZ来允许用户与其设备进行通信。作为BlueZ背后组织的主要支持者,英特尔已宣布将漏洞描述为一个漏洞,该漏洞可提供特权提升或信息泄露。
由于它仍然是一个新发现,对该漏洞知之甚少-仍然,BlueZ的团队已发布了该补丁并免费提供。另外,英特尔已经在其网页上发布了一份警告,指出严重性已被归类为高。
尽管漏洞的严重性,它也不是用户社区应该担心的事情。一个黑客必须获得对建筑物的住房这样的设备或计算机,并具备必要的知识和设备,以掌握情况的优势。还有动机的问题-并不是很多黑客有兴趣接管坐在某人厨房柜台上的IoT咖啡壶。与许多计算机漏洞一样,面临最大风险的是那些处理非常敏感或宝贵信息的人。