புளூடூத் அடுக்குகளில் உள்ள பாதிப்பு Linux, macOS, Android மற்றும் iOS, இது விசை அழுத்த மாற்றீட்டை அனுமதிக்கிறது.

ஏழு ஆண்டுகளுக்கு முன்பு மவுஸ்ஜாக் பாதிப்பைக் கண்டறிந்த மார்க் நியூலின், புளூடூத் ஸ்டேக்குகளைப் பாதிக்கும் இதேபோன்ற ஒரு பாதிப்பை (CVE-2023-45866) வெளிப்படுத்தியுள்ளார். Android, Linux, macOS மேலும் iOS-லும், இது புளூடூத் மூலம் இணைக்கப்பட்ட உள்ளீட்டுச் சாதனத்தின் செயல்பாட்டைப் போலச் செயல்பட வைத்து, விசை அழுத்த மாற்றீட்டைச் செயல்படுத்துகிறது. விசைப்பலகை உள்ளீட்டிற்கான அணுகல் மூலம், ஒரு தாக்குபவர் கணினியில் கட்டளைகளை இயக்குதல், பயன்பாடுகளை நிறுவுதல் மற்றும் செய்திகளை அனுப்புதல் போன்ற செயல்களைச் செய்ய முடியும்.

இந்த பாதிப்பு, புளூடூத் ஹோஸ்ட் HID (மனித இடைமுக சாதனம்) இயக்கிகளில் உள்ள ஒரு பயன்முறையால் ஏற்படுகிறது, இது ஒரு தொலைதூர புற சாதனம் அங்கீகாரம் இல்லாமல் மறைகுறியாக்கப்பட்ட இணைப்புகளை உருவாக்க மற்றும் நிறுவ அனுமதிக்கிறது. மற்றவற்றுடன், இந்த முறையில் இணைக்கப்பட்ட சாதனங்கள் விசைப்பலகை செய்திகளை அனுப்ப முடியும், இது HID ஸ்டேக் செயலாக்குகிறது, பயனர் தொடர்பு இல்லாமல் தொலைதூர HID செய்தி மாற்று தாக்குதலை செயல்படுத்துகிறது. பாதிக்கப்பட்டவரிடமிருந்து 100 மீட்டர் தொலைவில் இருந்து தாக்குதலை மேற்கொள்ள முடியும்.

அங்கீகாரம் இல்லாமல் சாதனங்களை இணைப்பதற்கான வழிமுறை புளூடூத் விவரக்குறிப்பில் வரையறுக்கப்பட்டுள்ளது, மேலும் இது புளூடூத் ஸ்டாக்கின் அமைப்புகளைப் பொறுத்து, பயனரின் உறுதிப்படுத்தல் இல்லாமலேயே ஒரு சாதனத்தை இணைக்க அனுமதிக்கிறது. Linux மறைமுக இணைப்பிற்காக BlueZ புளூடூத் ஸ்டேக்கைப் பயன்படுத்தும்போது, ​​புளூடூத் அடாப்டர் கண்டறிதல் மற்றும் இணைப்புப் பயன்முறையில் இருக்க வேண்டும். Android ப்ளூடூத் ஆதரவை இயக்குவது மட்டுமே போதுமானது. iOS மற்றும் macOS தாக்குதலை நடத்துவதற்கு, புளூடூத் இயக்கப்பட்டிருக்க வேண்டும் மற்றும் ஒரு கம்பியில்லா விசைப்பலகை இணைக்கப்பட்டிருக்க வேண்டும்.

உள்ளீட்டு மாற்றீட்டின் சாத்தியக்கூறு இதில் விளக்கப்பட்டுள்ளது. Ubuntu Bluez தொகுப்பை அடிப்படையாகக் கொண்ட புளூடூத் ஸ்டாக்குடன் கூடிய 18.04, 20.04, 22.04, மற்றும் 23.10 பதிப்புகள். ChromeOS பாதிக்கப்படாது, ஏனெனில் அதன் புளூடூத் ஸ்டாக் அமைப்புகள் அங்கீகாரம் இல்லாமல் இணைப்புகளை அனுமதிப்பதில்லை. Android இந்தப் பாதிப்பு, 4.2.2 முதல் 14 வரையிலான இயங்குதளப் பதிப்புகளைக் கொண்ட சாதனங்களைப் பாதிக்கிறது. macOS ஆப்பிள் M2 CPU மற்றும் 2022 மேக்புக் ப்ரோவில் இந்தப் பாதிப்பு நிரூபிக்கப்பட்டது. macOS 13.3.3 மற்றும் இன்டெல் சிபியு கொண்ட மேக்புக் ஏர் 2017 மற்றும் macOS 12.6.7. iOS-இல், இந்தப் பாதிப்பு பின்வருவனவற்றில் நிரூபிக்கப்பட்டது: iPhone iOS 16.6 உடன் கூடிய SE. லாக்டவுன் பயன்முறையை இயக்குவது தாக்குதல்களிலிருந்து பாதுகாக்காது. macOS மற்றும் iOS.

В Linux ப்ளூஸ் (Bluez) குறியீட்டுத் தொகுப்பில், "ClassicBondedOnly" என்ற அமைப்பை "true" என அமைப்பதன் மூலம் அந்தப் பாதிப்பு சரிசெய்யப்பட்டது. இது, இணைத்த பிறகு மட்டுமே இணைப்புகளை அனுமதிக்கும் ஒரு பாதுகாப்பான பயன்முறையைச் செயல்படுத்துகிறது. முன்னதாக, இந்த அமைப்பு "false" என அமைக்கப்பட்டிருந்தது; அது பாதுகாப்பைக் குறைக்கும் விதமாக, சில உள்ளீட்டுச் சாதனங்களுடனான இணக்கச் சிக்கல்களைத் தீர்த்தது.

சமீபத்திய வெளியீடுகளில் பயன்படுத்தப்படும் ஃப்ளோரைடு புளூடூத் அடுக்கில் Androidஅனைத்து மறைகுறியாக்கப்பட்ட இணைப்புகளுக்கும் அங்கீகாரத்தைக் கட்டாயமாக்குவதன் மூலம் அந்தப் பாதிப்பு சரிசெய்யப்பட்டது. இதற்கான திருத்தங்கள் Android கிளைகள் 11-14க்கு மட்டுமே உருவாக்கப்பட்டது. பிக்சல் சாதனங்களைப் பொறுத்தவரை, டிசம்பர் ஃபார்ம்வேர் புதுப்பிப்பில் இந்தப் பாதிப்பு சரிசெய்யப்பட்டது. வெளியீடுகளுக்கு Android 4.2.2 முதல் 10 வரையிலான பதிப்புகளில் இந்தப் பாதிப்பு சரிசெய்யப்படாமல் உள்ளது.

ஆதாரம்: opennet.ru

DDoS பாதுகாப்பு, VPS VDS சர்வர்கள் கொண்ட தளங்களுக்கு நம்பகமான ஹோஸ்டிங் வாங்கவும் 🔥 DDoS பாதுகாப்புடன் கூடிய நம்பகமான இணையதள ஹோஸ்டிங், VPS, VDS சர்வர்களை வாங்குங்கள் | ProHoster