美国网络安全与基础设施安全局（CISA）将 Linux 内核漏洞纳入其已知被利用漏洞目录。
美国网络安全与基础设施安全局（CISA）把一个追踪编号为 CVE -- 2024 -- 53104 的 Linux 内核漏洞，添加到了其已知被利用漏洞（KEV）目录中。

2025 年 2 月的安卓安全更新修复了 48 个漏洞，其中包括零日漏洞 CVE -- 2024 -- 53104，该漏洞在实际攻击中已被积极利用。

谷歌的公告中写道："有迹象表明，CVE -- 2024 -- 53104 可能正遭受有限的、有针对性的利用。"

和往常一样，谷歌并未透露利用上述漏洞进行攻击的细节。

该漏洞是内核 USB 视频类驱动中的一个权限提升安全缺陷。已认证的本地攻击者可以在低复杂度的攻击中利用此缺陷提升权限。

该问题源于对 UVC_VS_UNDEFINED 帧的解析不当，导致对帧缓冲区大小的计算错误，并有可能引发任意代码执行或拒绝服务攻击。

安全公告中写道："在 Linux 内核中，以下漏洞已得到修复：media: uvcvideo: 在 uvc_parse_format 中跳过对 UVC_VS_UNDEFINED 类型帧的解析。由于在 uvc_parse_streaming 中计算帧缓冲区大小时未考虑这种类型的帧，这可能导致越界写入。"

根据《约束性操作指令（BOD）22 -- 01：降低已知被利用漏洞的重大风险》，联邦民用执行部门（FCEB）各机构必须在截止日期前修复已识别的漏洞，以保护其网络免受利用该目录中漏洞的攻击。

专家们还建议私营企业查看该目录，并修复其基础设施中的相关漏洞。

CISA 命令联邦机构在 2025 年 2 月 26 日前修复此漏洞。