美国网络安全和基础设施安全局(CISA)已发布了一项指令,要求联邦机构迅速解决Linux内核中的关键漏洞,该漏洞被确定为CVE-2024-53104。
这个高度缺陷会影响Android内核的USB视频类(UVC)驱动程序,并已在有针对性的攻击中积极利用。
对于那些不知道的人CVE-2024-53104是一个特权升级安全缺陷,影响了Linux内核中的USB UVC驱动程序。
该问题是由于在UVC_Parse_format函数中标记为UVC_VS_UNDEF的框架的解析不当引起,这可能会导致帧的缓冲区大小被错误计算,从而导致分类外写入。
成功利用此漏洞可以使经过身份验证的攻击者能够升级特权并在脆弱的Android电话上执行任意代码,或在受影响的系统或系统崩溃上引起拒绝服务条件。
为了响应这种漏洞的主动利用,CISA已将CVE-2024-53104添加到其已知的剥削漏洞(KEV)目录中。
根据2021年11月的约束力运营指令(BOD)22-01,该机构已要求所有联邦民用行政部门(FCEB)机构在2025年2月26日之前使用补丁,以减轻Linux内核脆弱性并保护其网络免受网络的影响。潜在威胁。
“这些类型的漏洞是恶意网络参与者的经常攻击向量,并对联邦企业构成了重大风险”,CISA发布周三警告。
CISA还建议私人组织和用户将其Linux发行版和Android设备更新为最新版本,以减轻与CVE-2024-53104相关的风险。
作为,Google已发布其2025年2月的安全更新,该更新解决了48个漏洞,包括CVE-2024-53104。
该公司指出了该缺陷的“有限,有针对性的剥削”的迹象,并提供了改善Android设备安全性的补丁。
但是,强烈鼓励用户迅速安装最新的安全更新,以保护其设备和自己免受重大安全威胁。
