BuzzWebzine
    BuzzWebzine
    Le meilleur de la POP culture
    • 📣Pub & Marketing
      • Musique de pub
      • Réseaux sociaux
    • 📺Divertissement
      • Ciné/TV
      • Court métrage
      • Musique
      • Humour
      • Art & Création
      • Photo
    • 🤖Tech & Geek
      • Jeux vidéo
      • Science
      • Auto / Moto
    • 🏠Maison
      • Cuisine
    • 😎Lifestyle
      • Mode
      • Voyage
      • Écologie
    • 💸Business
      • Entreprise
      • Finance
      • Immobilier
    • 🧘Bien-être
      • Rencontre
      • Beauté
      • Sport
      • Animaux
    • 🔥Bons plans
    BuzzWebzine
    BuzzWebzine » Actu » Google et Intel alertent sur des vulnérabilités Bleedingtooth sous Linux

    Google et Intel alertent sur des vulnérabilités Bleedingtooth sous Linux

    Nick OlaizolaPar Nick Olaizola22 octobre 20203 Mins Read
    • Facebook
    • Twitter
    • LinkedIn

    Google et Intel ont alerté sur un bogue de sécurité découvert récemment dans le noyau Linux. D’après les rapports, il s’agit d’une nouvelle faille critique qui concerne BlueZ de la technologie Bluetooth. Elle affecterait les versions 4.8 et plus.

    Les personnes malveillantes pourraient utiliser cette vulnérabilité, baptisée Bleedingtooth, pour exécuter un code arbitraire ou pour accéder à des informations personnelles. Pour y remédier, Intel a mis au point des mises à jour et des correctifs. Rappelons que le mois précédent, des chercheurs de l’université de Purdue ont trouvé une autre faille touchant également le protocole Bluetooth. Elle s’appelle BLESA ou Bluetooth Low Energy Spoofing.

    Dans cet article :

    • La description de Bleedingtooth selon Google
    • Bleedingtooth : une vulnérabilité sans clic
    • Intel recommande de mettre à jour le noyau Linux à la version 5.9

    La description de Bleedingtooth selon Google

    Google a publié quelques détails concernant la faille sur GitHub. A titre informatif, il s’agit de son dépôt de recherche de sécurité. Les ingénieurs de ce service technologique international ont fourni des descriptions beaucoup plus sérieuses que celles qui sont données par Intel.

    Ils ont répertorié les trois vulnérabilités qui composent Bleedingtooth, sous les numéros : CVE-2020-12351, CVE-2020-12352 et CVE-2020-24490. La plus grave est la CVE-2020-12351. Elle peut créer une confusion de type « heap-based ».

    Par contre, les deux autres sont des risques moyens. Elles ont toutes les deux un score CVSS de 5,3. Quant à la seconde faille avec la référence CVE-2020-12352, elle peut engendrer une fuite d’informations. Pour ce qui est de la troisième, elle entraîne une défaillance du système.

    Bleedingtooth : une vulnérabilité sans clic

    Comme l’explique Andy Nguyen, l’ingénieur de Google qui l’a identifié, Bleedingtooth est une vulnérabilité sans clic. C’est-à-dire qu’il peut être exécuté même sans l’interaction de la victime. Autrement dit, un hacker se trouvant à proximité et détenant l’adresse bd de l’appareil cible est en mesure de déclencher une faille.

    Par conséquent, celle-ci conduira à un déni de service ou à une exécution de code malveillant avec les privilèges du noyau. D’ailleurs, Nguyen a posté un tweet et une vidéo montrant comment l’attaque pourrait se produire.

    BleedingTooth: Linux Bluetooth Zero-Click Remote Code Execution
    Blog post available soon on: https://t.co/2SDRm6PZaQ
    Google Security Research Repository: https://t.co/0HolidyWvV
    Intel Security Advisory: https://t.co/kfGj3MWajy
    Video: https://t.co/sE35AoD0V4

    — Andy Nguyen (@theflow0) October 13, 2020

    « Un attaquant à courte distance connaissant l’adresse bd de la victime peut récupérer les informations de la pile du noyau. Les pointeurs qu’elle contient sont utilisés pour prédire la disposition de la mémoire et pour vaincre KASLR. La fuite peut contenir d’autres informations précieuses telles que les clés de cryptage », a déclaré Francis Perry de l’équipe de Google.

    Quoi qu’il en soit, le code PoC des deux failles de gravité moyenne et le code d’exploitation du concept pour Bleedingtooth sont disponibles sur GitHub. En outre, Google prévoit d’apporter prochainement plus de renseignements sur le sujet.

    Intel recommande de mettre à jour le noyau Linux à la version 5.9

    BlueZ est la pile protocolaire Bluetooth officielle de Linux. Le géant de la technologie a noté que les vulnérabilités affectent toutes les versions antérieures à 5,9 du noyau Linux.

    « Une validation incorrecte des entrées dans BlueZ peut permettre à un utilisateur non authentifié d’activer potentiellement l’escalade des privilèges via un accès adjacent », a affirmé Intel dans son avis sur la vulnérabilité CVE-2020-12351.

    Pour pallier ces défauts, Intel recommande la mise à jour du noyau Linux à la récente version 5.9 ou ultérieure. En outre, le projet BlueZ propose plusieurs correctifs du noyau pour résoudre les problèmes.

    Selon la suggestion d’Intel, voici la liste des correctifs à installer en cas d’échec de la mise à niveau :

    • https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-1-luiz.dentz@gmail.com/
    • https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-2-luiz.dentz@gmail.com/
    • https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-3-luiz.dentz@gmail.com/
    • https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-4-luiz.dentz@gmail.com/
    • https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e
    Notez cet article

    Nick Olaizola
    Nick Olaizola
    • Facebook
    • LinkedIn

    News, astuces et bonnes pratiques, je vous partage ce qui me passionne en essayant de répondre au mieux à vos questions.

    Articles similaires

    meilleurs casques bluetooth

    Meilleurs casques bluetooth 2021 : sélection promo black friday

    Puissant malware

    Kobalos : un puissant malware dérobe les données d’identifications SSH

    Victime d'une cyberattaque

    Ransomware : les attaques s’intensifieront encore plus en 2021

    Attaque bluetooth

    Attention ! Des milliards d’appareils Bluetooth sont vulnérables aux cyberattaques

    serveur virtuel VPS Linux

    Hébergement web : pourquoi choisir un serveur dédié virtuel VPS Linux ?

    Tronsmart Element T6 Plus en promo

    🔥 Code promo : l’enceinte bluetooth Tronsmart Element T6 Plus à 62€ + cadeau

    Laisser un commentaire Annuler la réponse

    Suivez BuzzWebzine
    • Facebook
    • Twitter
    • Instagram
    Top articles Tech & Geek
    • iPhone 14 sans carte SIM L’iPhone 14 n’utilisera pas de carte SIM
    • Routeur Wifi : 6 endroits où vous ne devez pas le placer Routeur Wifi : 6 endroits où vous ne devez pas le placer
    • Fonds d'écran iPhone : les meilleurs sites pour en trouver de bons Fonds d’écran iPhone : les meilleurs sites pour en trouver de bons
    • Numéro de l'adresse d'un domicile Comment trouver l’adresse de quelqu’un ?
    • Comment espionner un iPhone sans y avoir accès ? Comment espionner un iPhone sans y avoir accès ?
    • conseils de sécurité Wi-Fi 4 conseils de sécurité Wi-Fi : évitez d’être une proie facile pour les pirates !
    • Mais pourquoi L'Equipe et Le Figaro ont porté plainte contre Apple ? Mais pourquoi L’Equipe et Le Figaro ont porté plainte contre Apple ?
    Derniers articles Tech & Geek
    Un Français de 21 ans risque 116 ans de prison pour avoir piraté Microsoft et d'autres entreprises américaines
    Un Français de 21 ans risque 116 ans de prison pour avoir piraté Microsoft et d’autres entreprises américaines
    5 août 2022
    Mais pourquoi L'Equipe et Le Figaro ont porté plainte contre Apple ?
    Mais pourquoi L’Equipe et Le Figaro ont porté plainte contre Apple ?
    4 août 2022
    Fonds d'écran iPhone : les meilleurs sites pour en trouver de bons
    Fonds d’écran iPhone : les meilleurs sites pour en trouver de bons
    2 août 2022
    Ordi reconditionné ou PC d'occasion ? Avantages et inconvénients
    Ordi reconditionné ou PC d’occasion ? Avantages et inconvénients
    29 juillet 2022
    iPhone 14 sans carte SIM
    L’iPhone 14 n’utilisera pas de carte SIM
    25 juillet 2022
    Recherches populaires
    • meilleures series 2022
    • sorties cinéma 2022
    • programme tnt
    • megalodon taille
    • trypophobie phobie des trous
    • adresse
    • supprimer compte snapchat
    • fortnite mobile
    • one piece netflix
    • d'ou vient la saveur vanille
    • snapchat pc
    • beth harmon
    • robux gratuit
    • comment mettre snapchat en noir
    • pub intermarché
    • tinder gratuit
    • lieux de drague
    • mods sims 4
    • messagerie instantanée
    • streaming foot voir match en direct gratuitement
    • plus...
    Top 10 articles du mois
    • gagner beaucoup d'argent avec un métier qui paye bien sans diplôme : des idées de travail bien payé sans faire d'études Métier qui paye bien sans diplôme : 33 idées de travail bien payé sans faire d’études longues !
    • homme troublé femme Homme troublé par une femme : quels sont les signes ?
    • Bill Gates est en train de racheter les États-Unis
    • sms qu'un homme déteste recevoir 7 SMS que les hommes détestent recevoir
    • Coupe du monde 2022 : découvrez le vainqueur prédit par une Intelligence Artificielle Coupe du monde 2022 : découvrez le vainqueur prédit par une Intelligence Artificielle
    • femme qui n'aime plus son mari Quels sont les signes qu’une femme n’aime plus son mari ?
    • En train d'écrire sur WhatsApp Comment cacher « En train d’écrire » sur WhatsApp ? 3 astuces peu connues pour rédiger incognito !
    • signes d'une amitié amoureuse Quels sont les signes d’une amitié amoureuse ?
    • Ventilateur sur pied, tour, climatiseur mobile ou purificateur d'air : que choisir pour se rafraichir cet été ? Ventilateur sur pied, tour, climatiseur mobile ou purificateur rafraichisseur d’air : que choisir pour être au frais cet été ?
    • Vidéo du feu d’artifice du 14 juillet 2022 à la Tour Eiffel Paris Vidéo replay : le feu d’artifice du 14 juillet 2022 à la Tour Eiffel Paris
    Contact
    contactVous souhaitez devenir rédacteur, diffuser vos publicités, nous proposer un partenariat ou un sujet d'article ?


    Partenaire

    AmoMama

    © BuzzWebzine.fr 2012-2022 | Mentions légales

    Type above and press Enter to search. Press Esc to cancel.