පෙබරවාරි මාසයේදී Android වේදිකාවේ තීරණාත්මක ගැටළුවක් විසඳා ඇත (CVE-2020-0022) බ්ලූටූත් තොගයේ, විශේෂයෙන් නිර්මාණය කරන ලද බ්ලූටූත් පැකට්ටුවක් යැවීමෙන් දුරස්ථ කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි. බ්ලූටූත් පරාසය තුළ ප්රහාරකයෙකුට ගැටලුව හඳුනා ගත නොහැක. දම්වැලක අසල්වැසි උපාංග ආසාදනය කරන පණුවන් නිර්මාණය කිරීමට අවදානම භාවිතා කළ හැකිය.
ප්රහාරයක් සඳහා, වින්දිතයාගේ උපාංගයේ MAC ලිපිනය දැන ගැනීමට ප්රමාණවත් වේ (පෙර යුගල කිරීම අවශ්ය නොවේ, නමුත් උපාංගය මත බ්ලූටූත් සක්රිය කළ යුතුය). සමහර උපාංගවල, Wi-Fi MAC ලිපිනය මත පදනම්ව Bluetooth MAC ලිපිනය ගණනය කළ හැක. අවදානම සාර්ථකව ප්රයෝජනයට ගන්නේ නම්, ප්රහාරකයාට ඇන්ඩ්රොයිඩ් හි බ්ලූටූත් ක්රියාකාරිත්වය සම්බන්ධීකරණය කරන පසුබිම් ක්රියාවලියක අයිතිවාසිකම් සමඟ ඔහුගේ කේතය ක්රියාත්මක කළ හැකිය.
ගැටළුව Android හි භාවිතා කරන Bluetooth තොගයට විශේෂිත වේ (Broadcom වෙතින් BlueDroid ව්යාපෘතියේ කේතය මත පදනම්ව) සහ Linux හි භාවිතා වන BlueZ තොගයේ නොපෙන්වයි.
ගැටලුව හඳුනාගත් පර්යේෂකයන්ට සූරාකෑමේ ක්රියාකාරී මූලාකෘතියක් සකස් කිරීමට හැකි වූ නමුත් සූරාකෑමේ විස්තර වනු ඇත. පසුව, නිවැරදි කිරීම බහුතර පරිශීලකයින් වෙත ලබා දීමෙන් පසුව. පැකේජ නැවත ගොඩනැගීම සඳහා වන කේතයේ අවදානම පවතින බව පමණක් දන්නා කරුණකි යවන්නා විසින් සම්ප්රේෂණය කරන ලද දත්ත අපේක්ෂිත ප්රමාණය ඉක්මවන්නේ නම්, L2CAP (තාර්කික සබැඳි පාලනය සහ අනුවර්තන ප්රොටෝකෝලය) පැකට් වල ප්රමාණය වැරදි ලෙස ගණනය කිරීම.
Android 8 සහ 9 හි, ගැටළුව කේත ක්රියාත්මක කිරීමට හේතු විය හැක, නමුත් Android 10 හි එය පසුබිම් බ්ලූටූත් ක්රියාවලිය බිඳවැටීමට සීමා වේ. ඇන්ඩ්රොයිඩ් හි පැරණි නිකුතු මෙම ගැටලුවට බලපෑ හැකිය, නමුත් අවදානම් සූරාකෑමේ හැකියාව පරීක්ෂා කර නොමැත. ස්ථිරාංග යාවත්කාලීන කිරීම හැකි ඉක්මනින් ස්ථාපනය කරන ලෙස පරිශීලකයින්ට උපදෙස් දෙනු ලැබේ, මෙය කළ නොහැකි නම්, පෙරනිමියෙන් බ්ලූටූත් ක්රියා විරහිත කරන්න, උපාංග සොයා ගැනීම වැළැක්වීම සහ අත්යවශ්ය විට පමණක් (රැහැන් රහිත හෙඩ්ෆෝන් රැහැන් රහිත ඒවා ප්රතිස්ථාපනය කිරීම ඇතුළුව) පොදු ස්ථානවල බ්ලූටූත් සක්රිය කරන්න.
තුළ සඳහන් කළ ගැටලුවට අමතරව ඇන්ඩ්රොයිඩ් සඳහා වන ආරක්ෂක විසඳුම් කට්ටලය අවදානම් 26ක් ඉවත් කළ අතර, ඉන් තවත් අවදානමකට (CVE-2020-0023) තීරනාත්මක මට්ටමේ අවදානමක් පවරන ලදී. දෙවන අවදානම ද වේ බ්ලූටූත් තොගය සහ setPhonebookAccessPermission හි BLUETOOTH_PRIVILEGED වරප්රසාදය වැරදි ලෙස සැකසීමට සම්බන්ධ වේ. අධි අවදානම් ලෙස සලකුණු කර ඇති දුර්වලතා අනුව, රාමු සහ යෙදුම්වල ගැටළු 7ක්, පද්ධති සංරචක 4ක්, කර්නලයේ 2ක් සහ Qualcomm චිප් සඳහා විවෘත මූලාශ්ර සහ හිමිකාර සංරචක 10ක් ආමන්ත්රණය කරන ලදී.
මූලාශ්රය: opennet.ru