Marc Newlin qui vulnerability MouseJack septem abhinc annis, notitia detegitur vulnerabilitas similis (CVE-2023-45866)Android, Linux, macOS et iOS Bluetooth acervos afficiens. Haec vulnerabilitas permittit keystroke spoofing simulando actionem Bluetooth connexae input fabrica. Cum accessum ad input electronicarum perveniat, oppugnator varias actiones exercere potest, sicut mandata in systemate exsecutioni mandare, applicationes inaugurari et mandata reducere.
vulnerabilitas ab hospite HID (Human Interface Device) agitatores pro Bluetooth machinas habentes modum habentis qui permittit remotum artificium periphericum ad nexus encryptas creandas et constituendas sine authenticas. Hae connexae cogitationes possunt nuntios electronicas transmittere et eos processus HID acervus aperiens ianuam tacito HID nuntium impetu svoofing. Impetus hic usque ad 100 metra ab victima perfici potest.
Mechanismus pro machinis binis sine authenticis definitur in specificatione Bluetooth et, secundum unctiones in acervo Bluetooth, machinam sine confirmatione ab usuario coniungi permittit. Exempli gratia, in Linux, cum BlueZ Bluetooth acervo occulto utendo, adaptor Bluetooth modus inveniendi et connectendi debet esse. In Android, iusta subsidia Bluetooth da. In iOS et macOS, ad felicem impetum, Bluetooth verti debent et claviaturae cinematographicae coniungi debent.
Facultas initus coquendi in Ubuntu 18.04, 20.04, 22.04 et 23.10 cum acervo Blueto in sarcina BlueZ demonstrata est. ChromeOS vulnerabilitatis non afficitur, quod occasus eius Bluetooth acervus nexus sine authenticitate non patitur. In Android, vulnerabilitas machinas cum versionibus suggestu afficit ab 4.2.2 ad 14. In macOS, vulnerabilitas in MacBook Pro 2022 demonstrata est cum Apple M2 processu et macOS 13.3.3, tum in MacBook Air 2017 cum an. Processus Intel et macOS 12.6.7. In iOS, vulnerabilitas in iPhone SE currens iOS 16.6 demonstrata est. Modus Lockdown parandi tutelam contra macOS et iOS oppugnationes non praebet.
Linux vulnerability removeatur in codebasi Bluez ponendo "ClassicBondedOnly" ad "verum" disponens, ut tutus modus sit qui coniunctiones modo factae post HYMENAEOS permittit. Antea hoc propositum est "falsis", quae propter convenientiam cum aliquibus cogitationibus inputationis gradum securitatis reduxit.
In Fluoride Bluetooth acervus in recentissimis versionibus Android, vulnerability fixa omnibus necessariis encrypted authenticas exigendo. inaequaliter MASCULINUS pro ramis 11-14 tantum dimissi erant. Ad Pixel inventa, vulnerabilitas in firmware Decembri renovatio fixa est. Android emissio 4.2.2 ad 10, vulnerabilitas fixa manet.
Source: linux.org.ru
