ອີງຕາມ The Hacker News , ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພ Marc Newlin ໄດ້ລາຍງານຊ່ອງໂຫວ່ດັ່ງກ່າວໃຫ້ກັບຜູ້ຂາຍຊອບແວໃນເດືອນສິງຫາ 2023. ລາວກ່າວວ່າເທັກໂນໂລຢີ Bluetooth ມີຊ່ອງໂຫວ່ທີ່ຂ້າມການກວດສອບຄວາມຖືກຕ້ອງ, ຊ່ວຍໃຫ້ຜູ້ໂຈມຕີສາມາດເຊື່ອມຕໍ່ກັບອຸປະກອນຕ່າງໆໃນພື້ນທີ່ໂດຍບໍ່ມີການຢືນຢັນຫຼືການໂຕ້ຕອບຂອງຜູ້ໃຊ້.
ຊ່ອງໂຫວ່ນີ້ໄດ້ຖືກກຳນົດລະຫັດຕິດຕາມ CVE-2023-45866, ເຊິ່ງອະທິບາຍເຖິງສະຖານະການການຂ້າມການພິສູດຢືນຢັນຕົວຕົນທີ່ອະນຸຍາດໃຫ້ຜູ້ກໍ່ໄພຂົ່ມຂູ່ເຊື່ອມຕໍ່ກັບອຸປະກອນ ແລະ ປະຕິບັດລະຫັດໂດຍການກົດປຸ່ມໃນນາມຂອງຜູ້ເຄາະຮ້າຍ. ການໂຈມຕີຫຼອກລວງອຸປະກອນເປົ້າໝາຍໃຫ້ຄິດວ່າມັນເຊື່ອມຕໍ່ກັບແປ້ນພິມ Bluetooth ໂດຍການໃຊ້ປະໂຫຍດຈາກກົນໄກການຈັບຄູ່ທີ່ບໍ່ໄດ້ຮັບການພິສູດຢືນຢັນທີ່ກຳນົດໄວ້ໃນສະເປັກ Bluetooth.
ມາດຕະຖານການເຊື່ອມຕໍ່ Bluetooth ກຳລັງປະເຊີນກັບຄວາມສ່ຽງດ້ານຄວາມປອດໄພຫຼາຍຢ່າງ.
ການຂຸດຄົ້ນຊ່ອງໂຫວ່ທີ່ປະສົບຜົນສຳເລັດອາດເຮັດໃຫ້ແຮກເກີພາຍໃນຂອບເຂດການເຊື່ອມຕໍ່ Bluetooth ສາມາດສົ່ງຂໍ້ຄວາມເພື່ອຕິດຕັ້ງແອັບພລິເຄຊັນ ແລະ ປະຕິບັດຄຳສັ່ງຕ່າງໆໄດ້. ສິ່ງທີ່ໜ້າສັງເກດແມ່ນການໂຈມຕີນີ້ບໍ່ຕ້ອງການຮາດແວພິເສດໃດໆ ແລະ ສາມາດປະຕິບັດໄດ້ຈາກຄອມພິວເຕີ Linux ໂດຍໃຊ້ອະແດບເຕີ Bluetooth ມາດຕະຖານ. ລາຍລະອຽດດ້ານເຕັກນິກຂອງຊ່ອງໂຫວ່ດັ່ງກ່າວຄາດວ່າຈະໄດ້ຮັບການເຜີຍແຜ່ໃນອະນາຄົດ.
ຊ່ອງໂຫວ່ Bluetooth ນີ້ສົ່ງຜົນກະທົບຕໍ່ອຸປະກອນຫຼາກຫຼາຍຊະນິດທີ່ໃຊ້ Android ເວີຊັນ 4.2.2 ຂຶ້ນໄປ, ເຊັ່ນດຽວກັນກັບ iOS, Linux, ແລະ macOS. ຊ່ອງໂຫວ່ນີ້ມີຜົນກະທົບຕໍ່ macOS ແລະ iOS ເມື່ອເປີດໃຊ້ Bluetooth ແລະ Apple Magic Keyboard ຖືກຈັບຄູ່ກັບອຸປະກອນທີ່ມີຄວາມສ່ຽງ. ມັນຍັງເຮັດວຽກໃນໂໝດ LockDown, ເຊິ່ງເປັນໂໝດທີ່ຖືກອອກແບບມາເພື່ອປ້ອງກັນໄພຂົ່ມຂູ່ດ້ານດິຈິຕອນຂອງ Apple. Google ກ່າວວ່າຊ່ອງໂຫວ່ CVE-2023-45866 ສາມາດນຳໄປສູ່ການເພີ່ມສິດທິພິເສດໃນອຸປະກອນໂດຍບໍ່ຕ້ອງການສິດທິພິເສດໃນການປະຕິບັດເພີ່ມເຕີມ.
[ໂຄສະນາ_2]
ລິ້ງແຫຼ່ງຂໍ້ມູນ
(0)