Intelは10月13日(米国時間)、「INTEL-SA-00435 - BlueZ Advisory」において、同社が提供するBluetoothスタックの一部である「BlueZ」 をサポートする Linux Kernel 5.9 より前のすべてのバージョンに、特権昇格や情報窃取につながる潜在的な脆弱性が存在すると伝えた。Intelは3つの脆弱性を報告しており、うちひとつは深刻度が重大(High)に分類されている。
攻撃者が物理的にデバイスに接近できる場合、この脆弱性を悪用した攻撃を受ける危険性があるほか、Linuxカーネルを使ったIoTデバイスが影響を受ける可能性がある。ただし、脆弱性の詳細情報はまだ公開されていない。この脆弱性を突いた攻撃がどのように実施されるのか、今後の詳細な報告が待たれる。
-
INTEL-SA-00435 - BlueZ Advisory
情報セキュリティエンジニアのAndy Nguyen氏がTwitterで報告したメッセージによれば、脆弱性の詳細は「Google Online Security Blog」に掲載されるという。同氏はこの脆弱性のPoCと見られる動画のURLもツイートしているが、その動画では近接するLinux PCに対してこの脆弱性を悪用して任意のコードが実行される様子が示されている。この脆弱性は「BleedingTooth」と呼ばれている。
-
Google Online Security Blog
