三星手機漏洞被列入CISA 必須修補清單
編譯/Cynthia
近日,美國資訊安全及基礎建設安全局(CISA)將六個影響三星智慧手機的漏洞新增至其已知受攻擊漏洞目錄中,引起了人們對手機安全性的關注。這些漏洞在2021年被三星修補,但CISA警告稱這些漏洞很可能已被商業間諜軟體供應商利用。
這些漏洞中,最嚴重的是CVE-2021-25487,它存在於數據機介面驅動程式中,可能導致任意程式碼執行。根據CISA的說法,這個漏洞已被三星分類為「中度」,但根據CVSS(通用漏洞評分系統)評分,其嚴重性屬於「高度」。另外,還有CVE-2021-25489,這是一個格式字串漏洞,可能導致拒絕服務情況發生。
CISA在多功能(Multi-Function Charger,MFC)充電器驅動程序中添加了 CVE-2021-25394 和 CVE-2021-25395,兩個為中等嚴重程度。而另一個CVE-2021-25371是一個中等嚴重性問題,可允許攻擊者在數位信號處理器(Digital Signal Processor Driver,DSP)驅動程式中加載任意ELF文件。CVE-2021-25372是一個中等嚴重的越界訪問漏洞。
這些漏洞在2021年已經被三星修補,但仍然有可能被惡意利用。CISA指出,商業間諜軟體供應商很可能利用這些漏洞進行攻擊,將其列入了「必須修補」的清單中。
雖然目前還沒有公開報告描述這些漏洞在本週被新增至CISA的「必須修補」清單後的利用情況,但過去的研究顯示,類似的三星手機漏洞曾被商業間諜軟體供應商利用。去年,Google揭露三個與三星手機相關的漏洞,並指出還有其他六個漏洞在攻擊中被利用。這些發現加強了漏洞被間諜軟體供應商利用的證據,同時也突顯了手機安全性的重要性。
對於三星手機用戶來說,這些漏洞的存在可能帶來嚴重的風險。儘管三星在2021年修補了這些漏洞,但CISA的警告意味著使用者應該儘快安裝最新的安全修補程式,以確保手機的安全性。所以,三星並未更新其舊的安全通知,警告用戶這些漏洞的存在和可能的利用情況。
然而,這並不僅僅是三星手機所面臨的問題。在去年,Google發現了一個與三星手機相關的內核指標洩漏問題,該漏洞自2021年以來一直存在。這再次提醒人們,手機安全性是一個廣泛存在的問題,需要供應商和用戶共同努力來解決。
資料來源:SecurityWeek
瀏覽 676 次
