CISAは本日、連邦政府機関に対し、現在悪用されている脆弱性リストに追加され、今月のAndroidセキュリティアップデートで対処された、深刻度の高いArm Mali GPUカーネルドライバの権限昇格の欠陥にパッチを適用するよう命じた。
この欠陥 ( CVE-2021-29256として追跡されています) は、解放後の使用に関する弱点であり、攻撃者が GPU メモリ上で不適切な操作を許可することで、root 権限に昇格したり、標的の Android デバイス上の機密情報にアクセスしたりする可能性があります。
Armの勧告には、「権限のないユーザーがGPUメモリ上で不適切な操作を行って既に解放されたメモリにアクセスする可能性があり、root権限を取得したり、情報を開示したりする可能性がある」と書かれている。
「この問題は、Bifrost および Valhall GPU カーネル ドライバー r30p0 で修正され、Midgard カーネル ドライバー r31p0 リリースでも修正されています。この問題の影響を受ける場合は、アップグレードすることをお勧めします。」
Android オペレーティング システムの今月のセキュリティ アップデートで、Google は攻撃に悪用されたとタグ付けされたさらに 2 つのセキュリティ上の欠陥にパッチを適用しました。
CVE-2023-26083 は、Samsung デバイスにスパイウェアを配信するエクスプロイト チェーンの一部として2022 年 12 月に利用された、 Arm Mali GPU ドライバーにおける中重大度のメモリ リークの欠陥です。
3 番目の脆弱性は、CVE-2023-2136 として追跡され、深刻度が重大と評価されています。これは、オープンソースのマルチプラットフォーム 2D グラフィックス ライブラリである Google の Skia で見つかった整数オーバーフローのバグです。特に、Skia は Google Chrome Web ブラウザーで使用されており、 4 月にゼロデイ バグとして対処されました。
連邦政府機関、3週間以内にAndroidデバイスを保護するよう命令
米国連邦文民行政府機関 (FCEB) は、本日 CISA の既知の悪用された脆弱性リストに追加された CVE-2023-20963 脆弱性を標的とした攻撃からデバイスを保護するための措置を 7 月 28 日まで与えられました。
2021 年 11 月に発行された拘束力のある運用指令 (BOD 22-01)によると、連邦政府機関は CISA の KEV カタログに概説されているセキュリティ上の欠陥を徹底的に評価し、対処する義務があります。
このカタログは主に米国連邦機関に焦点を当てていますが、民間企業も CISA のカタログに記載されているすべての脆弱性を優先してパッチを適用することを強く推奨しています。
CISAは本日、「この種の脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と警告した。
今週初め、サイバーセキュリティ当局は、TrueBot マルウェア活動の背後にいる攻撃者が、Netwrix Auditor ソフトウェアの重大なリモート コード実行 (RCE) の脆弱性を悪用して、標的のネットワークへの初期アクセスを行っていると警告しました。
その1週間前、CISA も複数の業界セクターにわたる米国組織を標的とした分散型サービス妨害(DDoS)攻撃について警告した。
Comments