描述:
一个漏洞在运行不同操作系统(包括 Android、Linux、iOS 和 macOS)及已启用蓝牙功能的各种装置中被发现。未通过认证的攻击者可以在受影响装置的无线范围内,无需得到任何用户的同意而将装置与其蓝牙键盘配对,并插入恶意按键以执行程式码。
受影响的系统:
已启用蓝牙功能的装置并符合以下任何一项条件:
- 没有安装修补程式的 Android 装置
- 运行 BlueZ 规约堆叠的 Linux 装置
- 没有安装修补程式及配对了 Apple Magic Keyboard 的 iOS 及 macOS 装置
如果系统或装置受影响,强烈建议谘询产品供应商和/或装置制造商。
影响:
成功利用漏洞可以在受影响的装置导致执行任意程式码、权限提升或仿冒诈骗。
建议:
系统管理员和用户应向产品供应商查询,以确认其装置是否受影响及修补程式的情况。系统管理员和用户应安装修补程式或遵从产品供应商的建议以降低风险。
作为保安良好作业模式,受影响装置的蓝牙应在不使用时关闭。
进一步资讯:
- https://github.com/skysafe/reblog/tree/main/cve-2023-45866
- https://support.apple.com/en-us/HT214035
- https://support.apple.com/en-us/HT214036
- https://source.android.com/docs/security/bulletin/2023-12-01
- https://access.redhat.com/security/cve/cve-2023-45866
- https://ubuntu.com/security/CVE-2023-45866
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45866