ProHoster > Blog > nouvèl sou entènèt > Yon vilnerabilite ki ka eksplwate adistans nan pil Bluetooth platfòm lan. Android

Yon vilnerabilite ki ka eksplwate adistans nan pil Bluetooth platfòm lan. Android

Nan bilten sekirite Novanm nan Android Yo pibliye enfòmasyon sou vilnerabilite CVE-2025-48593 nan sou-sistèm Bluetooth la, ki afekte vèsyon yo Android 13 jiska 16. Vilnerabilite a klase kòm kritik (9.8 sou 10) paske li ka mennen nan ekzekisyon kòd a distans lè w ap trete pakè Bluetooth espesyalman fèt.

Google poko pibliye yon deskripsyon detaye sou vilnerabilite a, men chèchè endepandan yo deklare pwoblèm nan pa afekte smartphones òdinè epi li afekte sèlman aparèy Bluetooth ki kapab sèvi kòm yon oratè, tankou oratè entelijan, mont entelijan, ak sistèm infotainment nan machin. Pou eksplwate pwoblèm nan, itilizatè a dwe konekte aparèy li ak aparèy atakè a. Yon solisyon se tou senpleman rejte demann koneksyon sispèk yo (avi Google la di ke eksplwatasyon an pa mande okenn entèraksyon itilizatè).

Koreksyon an konsiste de ajoute yon apèl pou verifye egzistans Baz Done Dekouvèt la lè w ap travay avèk pwofil Bluetooth Handsfree la epi pou kanpe rechèch kanmarad yo lè l sèvi avèk SDP (Service Discovery Protocol), ansanm ak retabli epi efase estrikti p_disc_db ("baz done dekouvèt") la. Gen sèten manipilasyon pou retounen erè ak rekòmanse koneksyon pandan pwosesis deteksyon sèvis Bluetooth ak negosyasyon entèraksyon. sèvè avèk kliyan an mennen nan yon aksè a yon zòn memwa ki deja libere (itilize-apre-libète).

Yo deja mete koreksyon an sou baz kòd LineageOS la. Gen yon premye pwototip eksplwate a, ki lakòz yon aksidan lè sistèm nan demaraj. Android nan yon emilatè espesyal. Yo te wè tou tantativ pou vann yon exploit ki fonksyone sou entènèt, men sa yo sanble se tantativ eskro pou distribye malveyan oswa vann yon exploit fo.

Anplis vilnerabilite sa a, mizajou Novanm nan Android Gen yon solisyon pou vilnerabilite ogmantasyon privilèj CVE-2025-48581 la. Pwoblèm nan sèlman afekte... Android 16 epi li make kòm danjere. Vilnerabilite a koze pa yon erè lojik nan fonksyon VerifyNoOverlapInSessions ki soti nan fichye apexd.cpp la, ki ka bloke enstalasyon mizajou sekirite yo. Li enpòtan pou note ke vilnerabilite a ka eksplwate pou ogmante privilèj lokalman. Pa gen okenn aksyon itilizatè ki nesesè pou atak la.

Sous: opennet.ru

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster