close

_06_2023.07.10_CISA_警告美國政府各單位立即修補已遭攻擊的_Android_驅動程式漏洞

美國資安最高主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)近日發布命令,要求美國聯邦政府旗下各單位立即修補一個高危險的 ARM Mali GPU 核心驅動程式執行權限提升漏洞。

CISA 通令修補的漏洞為 CVE-2021-29256,是一個「釋放後使用」(use-after-free)漏洞,駭侵者可操弄受攻擊 Android 系統上的 GPU 記憶體,誘發這個漏洞來提升自身執行權限到最高的 root 等級,即可存取各種裝置上的機資訊。

CVE-2021-29256 的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高」(High);CISA 是在 2023 年 7 月 28 日將這個漏洞列入「已知遭濫用漏洞列表」(Known Exploited Vulerabilities Catalog,KEVC)之中。

依 CISA 規定,任何美國聯邦政府旗下單位,都應在新漏洞列入 KEVC 清單後限期應對,包括進行資安修補或其他防範措施,以防止遭駭侵者利用該漏洞發動攻擊。以這個 CVE-2021-29256 而言,美國聯邦政府旗下單位最遲應在 7 月 28 日之完成相關系統的漏洞修補作業。

CVE-2021-29256 早在 2021 年 3 月 26 日由 ARM 推出更新。Google 於 2023 年 7 月發表的 Android 安全公告中,則提到該漏洞可能已經遭到駭侵者用於攻擊。

雖然 CISA 發表的 KEV 資安更新通令僅對美國聯邦政府旗下單位有約束力,但建議各公私單位依照 CISA 通報進行各種系統的資安更新。

  • 參考連結

Mali GPU Driver Vulnerabilities

https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

Android 安全公告 - 2023 年 7 月

https://source.android.com/docs/security/bulletin/2023-07-01?hl=zh-tw

CISA warns govt agencies to patch actively exploited Android driver

https://www.bleepingcomputer.com/news/security/cisa-warns-govt-agencies-to-patch-actively-exploited-android-driver/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Android 驅動程式 ARM Mali GPU 資安漏洞
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄