除了最新版的Linux Kernel之外，所有其他产品中都存在一个新的蓝牙缺陷，引起了Google和Intel的注意，它们都已发出有关其严重性的警告。

该漏洞本身存在于BlueZ软件堆栈中，该堆栈用于在Linux中实现蓝牙核心协议和层。除了用于Linux便携式计算机之外，该软件堆栈还用于许多消费类设备以及工业IoT设备。

Google工程师Andy Nguyen将该漏洞命名为BleedingTooth，并在最近的一条推文中解释说，它实际上是“ Linux蓝牙子系统中的一系列零点击漏洞，它可以允许未经身份验证的远程攻击者在短距离内执行任意代码。在易受攻击的设备上具有内核特权”。

据Nguyen所说，他受到了研究的启发，导致发现了另一种名为BlueBorne的概念验证漏洞，该漏洞使攻击者无需用户单击链接即可发送命令。

尽管Nguyen曾说过BleedingTooth允许蓝牙范围内的攻击者无缝执行代码，但英特尔反而认为，该漏洞为攻击者提供了一种提升特权或泄露信息的手段。

该芯片巨头还发布了一份公告，其中解释说BleedingTooth实际上由三个独立的漏洞组成，分别被跟踪为CVE-2020-12351，CVE-2020-12352和CVE-2020-24490。尽管第一个漏洞的CVSS严重等级为8.3，但其他两个漏洞的CVSS等级均为5.3。英特尔在BlueZ通报中解释说Linux内核修复程序将很快发布，并表示：

“ BlueZ中的潜在安全漏洞可能允许特权升级或信息泄露。BlueZ正在发布Linux内核修复程序，以解决这些潜在漏洞。”

英特尔本身是BlueZ开源项目的主要贡献者之一，据芯片制造商称，一系列内核补丁是解决BleedingTooth的唯一方法。尽管令人担忧，但该漏洞并不是用户应该担心的事情，因为攻击者必须与易受攻击的Linux设备非常接近才能利用BleedingTooth。