CISA:注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 在“已知已遭利用漏洞”分类中新增两个漏洞,其中一个是谷歌 Chrome 最近修复的一个漏洞,另外一个是影响用于读取 Excel 文件 Spreadsheet::ParseExcel 中信息的开源库 Perl 中的漏洞。这两个漏洞的编号是CVE-2023-7024和CVE-2023-7101。
CISA 必修清单中新增的第一个漏洞是CVE-2023-7101,它是一个远程代码执行漏洞,影响 Spreadsheet::ParseExcel 库 0.65及更老版本。CISA提到,“Spreadsheet::ParseExcel 因将文件中的未验证输入传递到字符串类型 ‘eval’ 而导致包含一个远程代码执行漏洞。具体而言,该漏洞是因为 Excel 解析逻辑中的整形格式字符串的评估造成的。”
Spreadsheet::ParseExcel是一种通用库,允许在 Excel 文件上执行数据导入/导出操作、运行分析和自动化脚本。该产品也为在基于 Perl 的 web 应用上处理 Excel 文件提供了兼容性。
Barracuda ESG 产品就使用了该开源库,攻击者利用其中包含的CVE-2023-7101传播多款恶意软件。2023年12月20日,该厂商发布安全更新,推出了 Spreadsheet::ParseExcel 新版本 0.66,修复了该漏洞。
CISA 还将位于 Chrome 浏览器 WebRTC 中的堆缓冲溢出漏洞CVE-2023-7024增加到必修清单。
CISA 提到,“Google Chromium WebRTC 是为web浏览器提供实时通信功能的开源项目,其中含有一个堆缓冲溢出漏洞,可导致攻击者引发崩溃或代码执行。该漏洞影响使用 WebRTC 的 web 浏览器,包括但不仅限于 Google Chrome。”
该漏洞是由谷歌威胁分析团队 (TAG) 发现的,已在12月20日新发布的版本中紧急修复,即 Windows 120.0.6099.129/130版本以及 Mac 和 Linux 的120.0.6099.129版本。
这是谷歌在2023年修复的第8个 Chrome 0day 漏洞,说明了黑客一直都在查找并利用 Chrome 中的漏洞。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。