按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

CISA 警告美國政府各單位立即修補已遭攻擊的 Android 驅動程式漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-07-11
  • 點閱次數:8321
CISA 警告美國政府各單位立即修補已遭攻擊的 Android 驅動程式漏洞 twcertcc

美國資安最高主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)近日發布命令,要求美國聯邦政府旗下各單位立即修補一個高危險的 ARM Mali GPU 核心驅動程式執行權限提升漏洞。

CISA 通令修補的漏洞為 CVE-2021-29256,是一個「釋放後使用」(use-after-free)漏洞,駭侵者可操弄受攻擊 Android 系統上的 GPU 記憶體,誘發這個漏洞來提升自身執行權限到最高的 root 等級,即可存取各種裝置上的機資訊。

CVE-2021-29256 的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高」(High);CISA 是在 2023 年 7 月 28 日將這個漏洞列入「已知遭濫用漏洞列表」(Known Exploited Vulerabilities Catalog,KEVC)之中。

依 CISA 規定,任何美國聯邦政府旗下單位,都應在新漏洞列入 KEVC 清單後限期應對,包括進行資安修補或其他防範措施,以防止遭駭侵者利用該漏洞發動攻擊。以這個 CVE-2021-29256 而言,美國聯邦政府旗下單位最遲應在 7 月 28 日之完成相關系統的漏洞修補作業。

CVE-2021-29256 早在 2021 年 3 月 26 日由 ARM 推出更新。Google 於 2023 年 7 月發表的 Android 安全公告中,則提到該漏洞可能已經遭到駭侵者用於攻擊。

雖然 CISA 發表的 KEV 資安更新通令僅對美國聯邦政府旗下單位有約束力,但建議各公私單位依照 CISA 通報進行各種系統的資安更新。

回頁首