OpenSynergy BlueSDK (znany również jako Blue SDK) w wersji do 6.x włącznie zawiera podatność typu use-after-free w stosie Bluetooth. Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez jakiegokolwiek uwierzytelnienia.
▸ Pokaż oryginał (EN)
OpenSynergy BlueSDK (aka Blue SDK) through 6.x has a Use-After-Free. The specific flaw exists within the BlueSDK Bluetooth stack. The issue results from the lack of validating the existence of an object before performing operations on the object (aka use after free). An attacker can leverage this to achieve remote code execution in the context of a user account under which the Bluetooth process runs.
Podatność wynika z braku weryfikacji istnienia obiektu przed wykonaniem na nim operacji — jest to klasyczny błąd use-after-free (CWE-416). Atakujący może spreparować odpowiednie żądanie Bluetooth, które odwoła się do już zwolnionego obszaru pamięci. Skutkuje to możliwością przejęcia kontroli nad przepływem wykonania programu i uruchomieniem dowolnego kodu w kontekście konta użytkownika, w którym działa proces Bluetooth.
Atakujący bez żadnego uwierzytelnienia może zdalnie wykonać dowolny kod (RCE) w kontekście konta użytkownika obsługującego proces Bluetooth, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności i integralności danych oraz utraty dostępności usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się kontakt z OpenSynergy (www.opensynergy.com) w celu uzyskania zaktualizowanej wersji stosu BlueSDK. Do czasu wdrożenia poprawki należy rozważyć wyłączenie lub ograniczenie dostępu do interfejsu Bluetooth na podatnych urządzeniach.
OpenSynergy BlueSDK (Blue SDK) w wersjach do 6.x włącznie
Podatność została ujawniona przez PCA Cybersecurity w ramach advisory dostępnego pod adresem pcacybersecurity.com/resources/advisory/perfekt-blue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpensynergy Blue Sdk
APPOpensynergy≤ 6.0.1
Powiązane podatności
OpenSynergy BlueSDK (aka Blue SDK) through 6.x mishandles a function call. The specific flaw exists within the...
The L2CAP signaling channel implementation and SDP server implementation in OpenSynergy Blue SDK 3.2 through 6...
OpenSynergy BlueSDK (aka Blue SDK) through 6.x has Improper Input Validation. The specific flaw exists within ...
OpenSynergy BlueSDK (aka Blue SDK) through 6.x has Incorrect Control Flow Scoping. The specific flaw exists wi...