Уязвимость, обнаруженная в Bluetooth-стеке Toshiba для Windows и Станции технического обслуживания, может использоваться нападавшими, чтобы получить системные привилегии на компьютере, управляющем затронутыми версиями программного обеспечения.

С поднятыми привилегиями на машине у актера угрозы есть возможность взять под свой контроль компьютер, выполняя вредоносные программы, или изменить или удалить информацию, хранившую на жестком диске.

Недостаток безопасности получил CVE-2015-0884 идентификатор, и это - уязвимость эскалации привилегии пути со счетом основы CVSS 5,3 согласно информации от подразделения Computer Emergency Response Team (CERT) в Университете Карнеги-Меллон.

Успешная эксплуатация требует местной идентификации, которая делает заключение компромисса системы более трудным. Зачисленный за его открытие Джованни Дельвеккио от SmartNet.

Toshiba выпустила обновления для уязвимых продуктов и убеждает пользователей немедленно применить их. Программное обеспечение строит снижение риска, 9.10.32 для Bluetooth-стека для Windows и 2.2.14 для Станции технического обслуживания.

В консультативной безопасности компания предлагает инструкции относительно того, как пользователь может определить, уязвима ли установленная версия программного обеспечения и как применить обновление. Новые выпуски доступны от страницы поддержки Toshiba.

Компания предупреждает, что, если ее Bluetooth-стек для Windows не предварительно установлен на машине, это может быть добавлено программным обеспечением, связанным с адаптером Bluetooth.