一、 漏洞 CVE-2023-45866 基础信息

                                        # N/A

## 漏洞概述
Bluetooth HID Hosts in BlueZ 可能允许未认证的 Peripheral 角色 HID 设备建立加密连接并接受 HID 键盘报告，这可能导致在未进行用户交互的情况下注入 HID 消息。

## 影响版本
- Ubuntu 22.04LTS 中的 bluez 5.64-0ubuntu1 受影响。

## 漏洞细节
- 未认证的 Peripheral 角色 HID 设备可以建立加密连接。
- 这种设备可以发送 HID 键盘报告。
- 用户未进行授权交互的情况下可能发生 HID 消息注入。

## 影响
- 可能允许注入 HID 消息，从而可能执行未授权的操作。
- 在某些情况中，CVE-2020-0556 的缓解措施可能已经解决了该问题。
                                        

二、漏洞 CVE-2023-45866 的公开POC

三、漏洞 CVE-2023-45866 的情报信息

• 标题： About the security content of iOS 17.2 and iPadOS 17.2 - Apple Support -- 🔗来源链接

  标签：

  神龙速读：

                                          从提供的网页截图中，可以获取到关于iOS 17.2和iPadOS 17.2安全更新的以下关键信息：
  
  - **发布日期**：2023年12月11日。
  
  - **漏洞和修复**：
    - 多个CVE条目，例如CVE-2023-42937、CVE-2023-42919等，每个条目都列出了相应的漏洞影响、描述和修复措施。
    - 涉及的组件包括 Accessibility、Accounts、Assets、AVEVideoEncoder、Bluetooth、CallKit、Find My、ImageIO、IOUSBDeviceFamily、Kernel、Libsystem、Safari Private Browsing、Sandbox、Siri、TCC、Transparency、WebKit 等。
    - 每个组件下的漏洞都附有CVE编号、漏洞描述、修复详情以及发现该漏洞的研究人员信息。
  
  - **受影响的设备**： 列表涵盖了从iPhone XS和后续型号，到iPad的不同型号（如iPad Pro、iPad Air、iPad mini）等苹果设备。
  
  - **补丁和更新信息**：该文档概述了安全更新的内容，强调苹果不会讨论或确认安全问题，直到调查发生且补丁或发布可用，并提供了Apple安全文档使用的CVE-ID信息以及获取更多安全信息的链接。
  
  这些信息对于理解iOS和iPadOS 17.2版本的安全修复至关重要，帮助用户和安全研究人员了解已修复的漏洞，从而采取必要的措施保护他们的设备免受潜在威胁。
                                          

  

• 标题： Bluetooth® Technology Website -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中，可以获取到以下关于漏洞的关键信息：
  
  1. **蓝牙频道声音（Bluetooth Channel Sounding）**：
     - 这是一个即将推出的新功能，旨在增强蓝牙设备的真距离感知能力。
     - 该功能将使日常设备能够更好地感知其与周围环境的距离，从而提供更准确的音频体验。
  
  2. **Auracast**：
     - 这是一个蓝牙技术的子集，旨在提供改变生活的音频体验。
     - 它将增强蓝牙设备的音频性能，使用户能够更好地与他人和周围环境互动。
  
  3. **开发蓝牙技术**：
     - 网站提供了关于如何加入蓝牙技术开发的资源和指南。
     - 开发者可以找到资源来帮助他们开发和测试蓝牙产品。
  
  4. **最新资源**：
     - 网站提供了关于蓝牙频道声音的最新技术概述。
     - 还提供了关于Auracast广播音频改造解决方案和机会的最新信息。
  
  5. **博客文章**：
     - 网站的博客文章提供了关于蓝牙频道声音的首次亮相和蓝牙核心规范更新的详细信息。
  
  6. **资源**：
     - 网站提供了各种资源，包括博客文章、案例研究、信息图、论文、学习指南和视频。
  
  这些信息表明，蓝牙频道声音和Auracast是蓝牙技术的重要组成部分，它们旨在提高蓝牙设备的音频性能和真距离感知能力。开发者可以通过网站提供的资源来了解和开发这些功能。
                                          

  
• https://github.com/skysafe/reblog/tree/main/cve-2023-45866
• https://support.apple.com/kb/HT214036
• https://git.kernel.org/pub/scm/bluetooth/bluez.git/commit/profiles/input?id=25a471a83e02e1effb15d5a488b3f0085eaeb675
• http://changelogs.ubuntu.com/changelogs/pool/main/b/bluez/bluez_5.64-0ubuntu1/changelog
• https://www.debian.org/security/2023/dsa-5584vendor-advisory
• https://security.gentoo.org/glsa/202401-03vendor-advisory
• https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/D2N2P5LMP3V7IJONALV2KOFL4NUU23CJ/vendor-advisory
• https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/77YQQS5FXPYE6WBBZO3REFIRAUJHERFA/vendor-advisory
• http://seclists.org/fulldisclosure/2023/Dec/9mailing-list
• http://seclists.org/fulldisclosure/2023/Dec/7mailing-list
• https://lists.debian.org/debian-lts-announce/2023/12/msg00011.htmlmailing-list
• https://nvd.nist.gov/vuln/detail/CVE-2023-45866

四、漏洞 CVE-2023-45866 的评论