美国网络安全与基础设施安全局(CISA)将 Linux 内核漏洞纳入其已知被利用漏洞目录。
美国网络安全与基础设施安全局(CISA)把一个追踪编号为 CVE – 2024 – 53104 的 Linux 内核漏洞,添加到了其已知被利用漏洞(KEV)目录中。
2025 年 2 月的安卓安全更新修复了 48 个漏洞,其中包括零日漏洞 CVE – 2024 – 53104,该漏洞在实际攻击中已被积极利用。
谷歌的公告中写道:“有迹象表明,CVE – 2024 – 53104 可能正遭受有限的、有针对性的利用。”
和往常一样,谷歌并未透露利用上述漏洞进行攻击的细节。
该漏洞是内核 USB 视频类驱动中的一个权限提升安全缺陷。已认证的本地攻击者可以在低复杂度的攻击中利用此缺陷提升权限。
该问题源于对 UVC_VS_UNDEFINED 帧的解析不当,导致对帧缓冲区大小的计算错误,并有可能引发任意代码执行或拒绝服务攻击。
安全公告中写道:“在 Linux 内核中,以下漏洞已得到修复:media: uvcvideo: 在 uvc_parse_format 中跳过对 UVC_VS_UNDEFINED 类型帧的解析。由于在 uvc_parse_streaming 中计算帧缓冲区大小时未考虑这种类型的帧,这可能导致越界写入。”
根据《约束性操作指令(BOD)22 – 01:降低已知被利用漏洞的重大风险》,联邦民用执行部门(FCEB)各机构必须在截止日期前修复已识别的漏洞,以保护其网络免受利用该目录中漏洞的攻击。
专家们还建议私营企业查看该目录,并修复其基础设施中的相关漏洞。
CISA 命令联邦机构在 2025 年 2 月 26 日前修复此漏洞。
