描述:
一個漏洞在運行不同操作系統(包括 Android、Linux、iOS 和 macOS)及已啟用藍牙功能的各種裝置中被發現。未通過認證的攻擊者可以在受影響裝置的無線範圍內,無需得到任何用戶的同意而將裝置與其藍牙鍵盤配對,並插入惡意按鍵以執行程式碼。
受影響的系統:
已啟用藍牙功能的裝置並符合以下任何一項條件:
- 沒有安裝修補程式的 Android 裝置
- 運行 BlueZ 規約堆疊的 Linux 裝置
- 沒有安裝修補程式及配對了 Apple Magic Keyboard 的 iOS 及 macOS 裝置
如果系統或裝置受影響,強烈建議諮詢產品供應商和/或裝置製造商。
影響:
成功利用漏洞可以在受影響的裝置導致執行任意程式碼、權限提升或仿冒詐騙。
建議:
系統管理員和用戶應向產品供應商查詢,以確認其裝置是否受影響及修補程式的情況。系統管理員和用戶應安裝修補程式或遵從產品供應商的建議以降低風險。
作為保安良好作業模式,受影響裝置的藍牙應在不使用時關閉。
進一步資訊:
- https://github.com/skysafe/reblog/tree/main/cve-2023-45866
- https://support.apple.com/en-us/HT214035
- https://support.apple.com/en-us/HT214036
- https://source.android.com/docs/security/bulletin/2023-12-01
- https://access.redhat.com/security/cve/cve-2023-45866
- https://ubuntu.com/security/CVE-2023-45866
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45866