យោងតាម The Hacker News អ្នកស្រាវជ្រាវសន្តិសុខ Marc Newlin បានរាយការណ៍ពីភាពងាយរងគ្រោះនេះទៅកាន់អ្នកលក់កម្មវិធីនៅក្នុងខែសីហា ឆ្នាំ២០២៣។ លោកបានបញ្ជាក់ថា បច្ចេកវិទ្យាប៊្លូធូសមានភាពងាយរងគ្រោះដែលរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារភ្ជាប់ទៅឧបករណ៍នៅក្នុងតំបន់នោះដោយមិនចាំបាច់មានការបញ្ជាក់ ឬអន្តរកម្មពីអ្នកប្រើប្រាស់ឡើយ។
ចំណុចខ្សោយនេះត្រូវបានកំណត់លេខកូដតាមដាន CVE-2023-45866 ដែលពិពណ៌នាអំពីសេណារីយ៉ូរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងភ្ជាប់ទៅឧបករណ៍ និងប្រតិបត្តិលេខកូដដោយចុចគ្រាប់ចុចក្នុងនាមជនរងគ្រោះ។ ការវាយប្រហារនេះបញ្ឆោតឧបករណ៍គោលដៅឱ្យគិតថាវាត្រូវបានភ្ជាប់ទៅក្តារចុចប៊្លូធូសដោយកេងប្រវ័ញ្ចយន្តការភ្ជាប់ដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានកំណត់នៅក្នុងលក្ខណៈបច្ចេកទេសប៊្លូធូស។
ស្តង់ដារការតភ្ជាប់ប៊្លូធូសកំពុងប្រឈមមុខនឹងចំណុចខ្សោយសុវត្ថិភាពជាច្រើន។
ការកេងប្រវ័ញ្ចដោយជោគជ័យលើចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យពួក Hacker នៅក្នុងជួរតភ្ជាប់ Bluetooth បញ្ជូនការចុចគ្រាប់ចុចដើម្បីដំឡើងកម្មវិធី និងប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត។ ជាពិសេស ការវាយប្រហារនេះមិនតម្រូវឱ្យមានផ្នែករឹងឯកទេសណាមួយទេ ហើយអាចត្រូវបានអនុវត្តពីកុំព្យូទ័រ Linux ដោយប្រើអាដាប់ទ័រ Bluetooth ស្តង់ដារ។ ព័ត៌មានលម្អិតបច្ចេកទេសនៃភាពងាយរងគ្រោះនេះត្រូវបានគេរំពឹងថានឹងត្រូវបានបោះពុម្ពផ្សាយនាពេលអនាគត។
ចំណុចខ្សោយ Bluetooth នេះប៉ះពាល់ដល់ឧបករណ៍ជាច្រើនប្រភេទដែលដំណើរការ Android កំណែ 4.2.2 និងខ្ពស់ជាងនេះ ក៏ដូចជា iOS, Linux និង macOS។ ចំណុចខ្សោយនេះប៉ះពាល់ដល់ macOS និង iOS នៅពេលដែល Bluetooth ត្រូវបានបើក ហើយ Apple Magic Keyboard ត្រូវបានភ្ជាប់ជាមួយឧបករណ៍ដែលងាយរងគ្រោះ។ វាក៏ដំណើរការនៅក្នុង LockDown Mode ដែលជារបៀបដែលត្រូវបានរចនាឡើងដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងឌីជីថលរបស់ Apple។ Google បញ្ជាក់ថាចំណុចខ្សោយ CVE-2023-45866 អាចនាំឱ្យមានការកើនឡើងនៃសិទ្ធិ near-field នៅលើឧបករណ៍ដោយមិនតម្រូវឱ្យមានសិទ្ធិប្រតិបត្តិបន្ថែម។
[ការផ្សាយពាណិជ្ជកម្ម_២]
តំណភ្ជាប់ប្រភព
Kommentar (0)