CISA:注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞
2024-1-4 21:7:0 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

美国网络安全和基础设施安全局 (CISA) 在“已知已遭利用漏洞”分类中新增两个漏洞,其中一个是谷歌 Chrome 最近修复的一个漏洞,另外一个是影响用于读取 Excel 文件 Spreadsheet::ParseExcel 中信息的开源库 Perl 中的漏洞。这两个漏洞的编号是CVE-2023-7024和CVE-2023-7101。

Spreadsheet::ParseExcel RCE

CISA 必修清单中新增的第一个漏洞是CVE-2023-7101,它是一个远程代码执行漏洞,影响 Spreadsheet::ParseExcel 库 0.65及更老版本。CISA提到,“Spreadsheet::ParseExcel 因将文件中的未验证输入传递到字符串类型 ‘eval’ 而导致包含一个远程代码执行漏洞。具体而言,该漏洞是因为 Excel 解析逻辑中的整形格式字符串的评估造成的。”

Spreadsheet::ParseExcel是一种通用库,允许在 Excel 文件上执行数据导入/导出操作、运行分析和自动化脚本。该产品也为在基于 Perl 的 web 应用上处理 Excel 文件提供了兼容性。

Barracuda ESG 产品就使用了该开源库,攻击者利用其中包含的CVE-2023-7101传播多款恶意软件。2023年12月20日,该厂商发布安全更新,推出了 Spreadsheet::ParseExcel 新版本 0.66,修复了该漏洞。

Chrome 缓冲溢出漏洞

CISA 还将位于 Chrome 浏览器 WebRTC 中的堆缓冲溢出漏洞CVE-2023-7024增加到必修清单。

CISA 提到,“Google Chromium WebRTC 是为web浏览器提供实时通信功能的开源项目,其中含有一个堆缓冲溢出漏洞,可导致攻击者引发崩溃或代码执行。该漏洞影响使用 WebRTC 的 web 浏览器,包括但不仅限于 Google Chrome。”

该漏洞是由谷歌威胁分析团队 (TAG) 发现的,已在12月20日新发布的版本中紧急修复,即 Windows 120.0.6099.129/130版本以及 Mac 和 Linux 的120.0.6099.129版本。

这是谷歌在2023年修复的第8个 Chrome 0day 漏洞,说明了黑客一直都在查找并利用 Chrome 中的漏洞。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌紧急修复今年第8个已遭利用的 Chrome 0day

谷歌紧急修复已遭利用的 Chrome 0day

Chrome 漏洞多:web 浏览器还安全吗?

Excel Power Query 工具缺陷可被用于远程嵌入恶意 payload,微软拒绝修复

Excel 刚宣布支持 JavaScript 函数,CoinHive 挖矿 PoC 已现身

原文链接
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-bugs-in-chrome-and-excel-parsing-library/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518582&idx=2&sn=3e7fcf93d7c3d8fa193fcb72ed6c2347&chksm=ea94b81cdde3310af6e572040db0f7c2aba6bf5314cdb417d0ad4e7fffa194153e99860228a1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh