புளூடூத் அடுக்குகளில் உள்ள பாதிப்பு Linux, macOS, Android மற்றும் iOS

பாதிப்பை கண்டுபிடித்தவர் மார்க் நியூலின் மவுஸ்ஜாக் ஏழு ஆண்டுகளுக்கு முன்பு, பற்றிய தகவல்களை வெளியிட்டார் இதே போன்ற பாதிப்பு (CVE-2023-45866)புளூடூத் அடுக்குகளைப் பாதிக்கும் Android, Linux, macOS மற்றும் iOS. இந்தப் பாதிப்பு, புளூடூத் மூலம் இணைக்கப்பட்ட உள்ளீட்டுச் சாதனத்தின் செயல்பாட்டைப் போல நடித்துக் காட்டுவதன் மூலம், விசை அழுத்தப் போலியாக்கத்தை அனுமதிக்கிறது. விசைப்பலகை உள்ளீட்டிற்கான அணுகலைப் பெறுவதன் மூலம், ஒரு தாக்குபவர் கணினிக் கட்டளைகளை இயக்குதல், பயன்பாடுகளை நிறுவுதல் மற்றும் செய்திகளை அனுப்புதல் போன்ற பல்வேறு செயல்களைச் செய்ய முடியும்.

புளூடூத் சாதனங்களுக்கான ஹோஸ்ட் எச்ஐடி (மனித இடைமுக சாதனம்) இயக்கிகள் ஒரு பயன்முறையைக் கொண்டிருப்பதால் பாதிப்பு ஏற்படுகிறது, இது ரிமோட் பெரிஃபெரல் சாதனத்தை அங்கீகாரம் இல்லாமல் என்க்ரிப்ட் செய்யப்பட்ட இணைப்புகளை உருவாக்கவும் நிறுவவும் அனுமதிக்கிறது. இந்த இணைக்கப்பட்ட சாதனங்கள் விசைப்பலகை செய்திகளை அனுப்ப முடியும் மற்றும் HID ஸ்டேக் அவற்றை செயலாக்குகிறது, இது ஒரு அமைதியான HID செய்தியை ஏமாற்றும் தாக்குதலுக்கான கதவைத் திறக்கிறது. பாதிக்கப்பட்டவரிடமிருந்து 100 மீட்டர் வரை இந்தத் தாக்குதல் நடத்தப்படலாம்.

அங்கீகாரம் இல்லாமல் சாதனங்களை இணைப்பதற்கான வழிமுறை புளூடூத் விவரக்குறிப்பில் வரையறுக்கப்பட்டுள்ளது, மேலும் இது புளூடூத் ஸ்டாக் அமைப்புகளைப் பொறுத்து, பயனரின் உறுதிப்படுத்தல் இல்லாமலேயே ஒரு சாதனம் இணைவதற்கு அனுமதிக்கிறது. எடுத்துக்காட்டாக, LinuxBlueZ புளூடூத் ஸ்டேக்கைப் பயன்படுத்தும்போது, ​​மறைமுகமாக இணைப்பதற்கு புளூடூத் அடாப்டர் கண்டறிதல் மற்றும் இணைப்புப் பயன்முறையில் இருக்க வேண்டும். Android புளூடூத் ஆதரவை இயக்கினால் போதும். iOS மற்றும் macOS வெற்றிகரமான தாக்குதலுக்கு, புளூடூத் இயக்கப்பட்டிருக்க வேண்டும் மற்றும் ஒரு கம்பியில்லா விசைப்பலகை இணைக்கப்பட்டிருக்க வேண்டும்.

உள்ளீட்டு மாற்றீட்டின் சாத்தியக்கூறு இதில் நிரூபிக்கப்பட்டது. Ubuntu BlueZ தொகுப்பை அடிப்படையாகக் கொண்ட புளூடூத் ஸ்டாக்குடன் கூடிய 18.04, 20.04, 22.04, மற்றும் 23.10 பதிப்புகள். ChromeOS பாதிக்கப்படாது, ஏனெனில் அதன் புளூடூத் ஸ்டாக் அமைப்புகள் அங்கீகாரம் இல்லாமல் இணைப்புகளை அனுமதிப்பதில்லை. Android இந்தப் பாதிப்பு, 4.2.2 முதல் 14 வரையிலான இயங்குதளப் பதிப்புகளைக் கொண்ட சாதனங்களைப் பாதிக்கிறது. macOS ஆப்பிள் M2 செயலி மற்றும் பிற அம்சங்களைக் கொண்ட 2022 மேக்புக் ப்ரோவில் இந்தப் பாதிப்பு நிரூபிக்கப்பட்டது. macOS 13.3.3, அத்துடன் இன்டெல் செயலி கொண்ட மேக்புக் ஏர் 2017-இலும் macOS 12.6.7. iOS-இல், இந்தப் பாதிப்பு நிரூபிக்கப்பட்டது iPhone iOS 16.6 உடன் கூடிய SE. லாக்டவுன் பயன்முறையை இயக்குவது தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பை வழங்காது. macOS மற்றும் iOS.

В Linux பாதிப்பு நீக்கப்பட்டது Bluez கோட்பேஸில் "ClassicBondedOnly" அமைப்பை "true" என அமைப்பதன் மூலம், ஒரு பாதுகாப்பான பயன்முறையை செயல்படுத்துகிறது, இது இணைக்கப்பட்ட பிறகு மட்டுமே இணைப்புகளை உருவாக்க அனுமதிக்கிறது. முன்னதாக, இது "தவறு" என அமைக்கப்பட்டது, இது சில உள்ளீட்டு சாதனங்களுடன் இணக்கத்தன்மைக்காக, பாதுகாப்பு அளவைக் குறைத்தது.

சமீபத்திய பதிப்புகளில் பயன்படுத்தப்படும் ஃப்ளோரைடு புளூடூத் அடுக்கில் Android, பாதிப்பு சரி செய்யப்பட்டது அனைத்து மறைகுறியாக்கப்பட்ட இணைப்புகளுக்கும் அங்கீகாரத்தைக் கட்டாயமாக்குவதன் மூலம். இதற்கான திருத்தங்கள் Android 11-14 கிளைகளுக்கு மட்டுமே வெளியிடப்பட்டன. பிக்சல் சாதனங்களைப் பொறுத்தவரை, டிசம்பர் ஃபார்ம்வேர் புதுப்பிப்பில் அந்தப் பாதிப்பு சரிசெய்யப்பட்டது. வெளியீடுகளுக்கு Android 4.2.2 முதல் 10 வரையிலான பதிப்புகளில் இந்தப் பாதிப்பு சரிசெய்யப்படாமல் உள்ளது.

ஆதாரம்: linux.org.ru

DDoS பாதுகாப்பு, VPS VDS சர்வர்கள் கொண்ட தளங்களுக்கு நம்பகமான ஹோஸ்டிங் வாங்கவும் 🔥 DDoS பாதுகாப்புடன் கூடிய நம்பகமான இணையதள ஹோஸ்டிங், VPS, VDS சர்வர்களை வாங்குங்கள் | ProHoster