بلوٽوٿ اسٽيڪ ۾ ڪمزوري Linux, macOS, Android ۽ iOS

مارڪ نيولن، جنهن ڪمزوري دريافت ڪئي مائوس جڪ ست سال اڳ، بابت معلومات ظاهر ڪئي وئي ساڳي ڪمزوري (CVE-2023-45866)، بلوٽوٿ اسٽيڪ کي متاثر ڪندي Android, Linux, macOS ۽ iOS. هي ڪمزوري بلوٽوٿ سان ڳنڍيل ان پٽ ڊوائيس جي سرگرمي کي نقل ڪندي ڪي اسٽروڪ اسپوفنگ جي اجازت ڏئي ٿي. ڪي بورڊ ان پٽ تائين رسائي حاصل ڪرڻ سان، هڪ حملو ڪندڙ مختلف ڪارناما انجام ڏئي سگهي ٿو، جهڙوڪ سسٽم ڪمانڊ تي عمل ڪرڻ، ايپليڪيشنون انسٽال ڪرڻ، ۽ پيغام فارورڊ ڪرڻ.

هي ڪمزوري بلوٽوٿ HID (هيومن انٽرفيس ڊيوائس) هوسٽ ڊرائيورز ۾ هڪ موڊ جي ڪري پيدا ٿئي ٿي جيڪا ريموٽ پيري فيرلز کي تصديق کان سواءِ انڪرپٽ ٿيل ڪنيڪشن ٺاهڻ ۽ قائم ڪرڻ جي اجازت ڏئي ٿي. اهي ڳنڍيل ڊوائيس ڪيبورڊ پيغامن کي منتقل ڪري سگهن ٿا، جيڪي HID اسٽيڪ ذريعي پروسيس ڪيا ويندا آهن، صارف جي رابطي کان سواءِ HID پيغام جي اسپوفنگ حملي جي امڪان کي کوليندا آهن. هي حملو متاثر کان 100 ميٽر پري تائين ڪري سگهجي ٿو.

تصديق کان سواءِ ڊوائيسز کي جوڙڻ جو طريقو بلوٽوٿ وضاحت ۾ بيان ڪيو ويو آهي ۽، بلوٽوٿ اسٽيڪ سيٽنگن تي منحصر ڪري، هڪ ڊوائيس کي صارف جي تصديق کان سواءِ ڳنڍڻ جي اجازت ڏئي ٿو. مثال طور، ۾ Linux، جڏهن BlueZ بلوٽوٿ اسٽيڪ استعمال ڪندي، اسٽيلٿ پيئرنگ لاءِ بلوٽوٿ اڊاپٽر کي دريافت ۽ ڪنيڪشن موڊ ۾ هجڻ گهرجي. Android اهو بلوٽوٿ سپورٽ کي فعال ڪرڻ لاءِ ڪافي آهي. iOS ۽ macOS ڪامياب حملي لاءِ، بلوٽوٿ کي فعال هجڻ گهرجي ۽ وائرليس ڪيبورڊ ڳنڍيل هجڻ گهرجي.

ان پٽ متبادل جي امڪان کي ظاهر ڪيو ويو Ubuntu 18.04، 20.04، 22.04، ۽ 23.10 بليو زي پيڪيج تي ٻڌل بلوٽوٿ اسٽيڪ سان. ChromeOS ڪمزور نه آهي، ڇاڪاڻ ته ان جي بلوٽوٿ اسٽيڪ سيٽنگون تصديق کان سواءِ ڪنيڪشن جي اجازت نٿيون ڏين. Android هي ڪمزوري 4.2.2 کان 14 تائين پليٽ فارم ورزن وارن ڊوائيسز کي متاثر ڪري ٿي. macOS 2022 جي ميڪ بڪ پرو تي ايپل ايم 2 پروسيسر سان ڪمزوري جو مظاهرو ڪيو ويو ۽ macOS 13.3.3، انهي سان گڏ MacBook Air 2017 تي هڪ Intel پروسيسر سان ۽ macOS 12.6.7. iOS ۾، ڪمزوري جو مظاهرو ڪيو ويو iPhone iOS 16.6 سان SE. لاڪ ڊائون موڊ کي فعال ڪرڻ سان حملن کان تحفظ فراهم نٿو ٿئي macOS ۽ iOS.

В Linux ڪمزوري ختم ڪيو ويو بلوز ڪوڊ بيس ۾، "ClassicBondedOnly" سيٽنگ کي "true" تي سيٽ ڪندي، جيڪو هڪ محفوظ موڊ کي فعال ڪري ٿو جيڪو صرف جوڙڻ کان پوءِ ڪنيڪشن جي اجازت ڏئي ٿو. اڳي، سيٽنگ "false" هئي، جيڪا ڪجهه ان پٽ ڊوائيسز سان مطابقت لاءِ سيڪيورٽي کي نقصان پهچائيندي هئي.

تازن ورزن ۾ استعمال ٿيندڙ فلورائيڊ بلوٽوٿ اسٽيڪ ۾ Android, ڪمزوري کي درست ڪيو ويو آهي. سڀني انڪرپٽ ٿيل ڪنيڪشن لاءِ تصديق کي لازمي قرار ڏيندي. لاءِ درست ڪري ٿو Android صرف 11-14 شاخن لاءِ جاري ڪيا ويا. پکسل ڊوائيسز لاءِ، ڪمزوري ڊسمبر جي فرم ويئر اپڊيٽ ۾ درست ڪئي وئي هئي. رليز لاءِ Android 4.2.2 کان 10 تائين ڪمزوري بي ترتيب رهي ٿي.

جو ذريعو: linux.org.ru

DDoS تحفظ سان سائيٽن لاءِ قابل اعتماد هوسٽنگ خريد ڪريو، VPS VDS سرور 🔥 DDoS تحفظ سان قابل اعتماد ويب سائيٽ هوسٽنگ خريد ڪريو، VPS VDS سرورز | ProHoster