美国CISA新增CVE-2023-7024和CVE-2023-7101漏洞至列表,其中Chrome的WebRTC堆缓冲溢出和Spreadsheet::ParseExcel的远程代码执行漏洞被关注。Chrome已紧急修复0day漏洞,而Spreadsheet::ParseExcel库的更新也已发布。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 在“已知已遭利用漏洞”分类中新增两个漏洞,其中一个是谷歌 Chrome 最近修复的一个漏洞,另外一个是影响用于读取 Excel 文件 Spreadsheet::ParseExcel 中信息的开源库 Perl 中的漏洞。这两个漏洞的编号是CVE-2023-7024和CVE-2023-7101。
Spreadsheet::ParseExcel RCE
CISA 必修清单中新增的第一个漏洞是CVE-2023-7101,它是一个远程代码执行漏洞,影响 Spreadsheet::ParseExcel 库 0.65及更老版本。CISA提到,“Spreadsheet::ParseExcel 因将文件中的未验证输入传递到字符串类型 ‘eval’ 而导致包含一个远程代码执行漏洞。具体而言,该漏洞是因为 Excel 解析逻辑中的整形格式字符串的评估造成的。”
Spreadsheet::ParseExcel是一种通用库,允许在 Excel 文件上执行数据导入/导出操作、运行分析和自动化脚本。该产品也为在基于 Perl 的 web 应用上处理 Excel 文件提供了兼容性。
Barracuda ESG 产品就使用了该开源库,攻击者利用其中包含的CVE-2023-7101传播多款恶意软件。2023年12月20日,该厂商发布安全更新,推出了 Spreadsheet::ParseExcel 新版本 0.66,修复了该漏洞。
Chrome 缓冲溢出漏洞
CISA 还将位于 Chrome 浏览器 WebRTC 中的堆缓冲溢出漏洞CVE-2023-7024增加到必修清单。
CISA 提到,“Google Chromium WebRTC 是为web浏览器提供实时通信功能的开源项目,其中含有一个堆缓冲溢出漏洞,可导致攻击者引发崩溃或代码执行。该漏洞影响使用 WebRTC 的 web 浏览器,包括但不仅限于 Google Chrome。”
该漏洞是由谷歌威胁分析团队 (TAG) 发现的,已在12月20日新发布的版本中紧急修复,即 Windows 120.0.6099.129/130版本以及 Mac 和 Linux 的120.0.6099.129版本。
这是谷歌在2023年修复的第8个 Chrome 0day 漏洞,说明了黑客一直都在查找并利用 Chrome 中的漏洞。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Excel Power Query 工具缺陷可被用于远程嵌入恶意 payload,微软拒绝修复
Excel 刚宣布支持 JavaScript 函数,CoinHive 挖矿 PoC 已现身
原文链接
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-bugs-in-chrome-and-excel-parsing-library/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
740
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
