p>Специалисты Google практически во всех версиях Linux обнаружили уязвимость в таком программном стеке Bluetooth, как BlueZ. Это означает, что уязвимыми оказались сотни миллионов или даже миллиардов устройств и изделий в мире. Android, к счастью, имеет собственный Bluetooth-стек, но компьютеры и устройства на дистрибутивах Linux и Chrome OS оказались подвержены риску внешнего враждебного воздействия.

Стек BlueZ поддерживает все основные протоколы и уровни Bluetooth. Он разработан Qualcomm и сегодня курируется группой компаний во главе с Intel. Стек доступен для ядра Linux версии 2.4.6 и выше. По словам Intel, набор из трёх новых уязвимостей, который получил название BleedingTooth, «всего лишь» ведёт к открытию информации и к изменению уровня привилегий на атакуемом устройстве. Также компания утверждает, что последняя версия Linux 5.9 закрыта для этой уязвимости.

По мнению одного из известных разработчиков ядра Linux Мэтью Гаррета (Matthew Garrett), которое он высказал в своей ленте Twitter, Intel говорит неправду, когда утверждает, что в версии Linux 5.9 закрыты все пути для уязвимости через дыру в BlueZ. Также его возмутило то, что разработчики дистрибутивов Linux не были уведомлены о проблеме до публикации отчёта Intel об обнаруженной дыре и не смогли подготовить соответствующие патчи.

Intel just disclosed a bunch of Linux Bluetooth vulnerabilities (https://t.co/B5G5Oxrnr5), but:
1) Despite claiming the fixes are in 5.9, they aren't
2) Distributions weren't notified so didn't have backported patches ready to release

Источник: 3DNews