CISA发出警告:Chrome和Excel解析库存在被利用的漏洞

安全
目前,美国c和基础设施安全局(CISA)已经将两个识别出来的重大漏洞添加到被利用漏洞(KEV)目录中。

Hackread网站消息,Chrome和Excel解析库存在被利用的漏洞。在发现漏洞之后,美国网络安全和基础设施安全局(CISA)立即向联邦机构发布了紧急通知,要求机构在1月23日前完成风险缓解工作,并遵循供应商的指南迅速解决这些漏洞。

目前,美国网络安全和基础设施安全局(CISA)已经将两个识别出来的重大漏洞添加到被利用漏洞(KEV)目录中。其中一个是最近修补的Google Chrome中的漏洞,另一个是影响开源Perl库“Spreadsheet::ParseExcel”的漏洞,该库被用于读取Excel文件中的信息。

具体漏洞如下:

  • CVE-2023-7024:Google Chromium WebRTC堆缓冲区溢出漏洞。
  • CVE-2023-7101:Spreadsheet::ParseExcel远程代码执行漏洞。

CVE-2023-7024:

CVE-2023-7024是2023年12月前发现的Google Chrome中WebRTC组件的一个严重漏洞,它允许攻击者通过特制的HTML页面利用堆缓冲区溢出,最终控制受害者的电脑。

Google在2023年12月已经修补了这个安全漏洞,对于那些已经更新到修补版本浏览器的用户来说,它不再构成威胁。为了保护浏览器和其他软件不受未来漏洞的侵害,建议用户将它们更新到最新版本。

CVE-2023-7101

CVE-2023-7101是一个影响Spreadsheet::ParseExcel的关键漏洞,而Spreadsheet::ParseExcel是用来解析Excel文件的Perl模块,它暴露了远程代码执行(RCE)的风险,允许攻击者通过特制的Excel文件控制易受攻击的系统。

该漏洞允许攻击者将恶意Excel文件上传到易受攻击的系统,也可以利用数字格式字符串在系统上执行任意代码,攻击者可能通过这些操作窃取敏感数据(密码、个人信息等)、安装恶意软件、扰乱系统操作,甚至完全控制受影响的系统。

目前,Spreadsheet::ParseExcel软件版本是0.65的用户可能会受到这一漏洞的影响。值得注意的是,该漏洞的影响范围扩展到了用Perl开发的各种应用程序和框架,因此也可能会影响整个系统。

为了解决这一漏洞,Metacpan已经发布了一个修补版本0.66,作为预防措施,强烈建议用户尽快更新到修补版本。在无法立即更新的情况下,建议用户采取缓解措施,例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。

Qualys威胁研究部门首席威胁情报分析师奥布雷·佩林表示,“CVE-2023-7101是一个Perl库的漏洞,它已经引起了广泛关注,这一点在网络和电子邮件安全公司Barracuda的设备中的使用可以看出。“

奥布雷指出,这一漏洞已被公开,勒索软件威胁行为者利用它来进行恶意操作的风险已经增加,建议企业彻底评估环境,检查是否有‘Spreadsheet::ParseExcel’实例需要更新或移除。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2024-02-01 13:24:00

2022-04-20 14:54:35

漏洞网络攻击Windows

2024-04-15 16:09:12

2022-06-07 11:20:33

零日漏洞漏洞网络攻击

2022-08-10 18:18:20

网络安全漏洞CISA

2023-02-09 16:07:01

系统Windows 11

2010-06-08 21:14:35

2021-11-26 15:03:51

Windows零日漏洞恶意软件

2021-11-19 14:23:39

漏洞网络安全网络攻击

2022-07-21 14:13:37

勒索软件暗网

2022-02-16 08:33:46

漏洞网络安全恶意网络

2021-09-08 10:35:43

黑客零日漏洞攻击

2022-04-20 12:07:12

漏洞网络攻击网络安全

2013-05-03 10:18:51

2022-02-14 10:49:31

加密货币货币美国联邦贸易委员会

2021-11-01 20:28:16

木马漏洞源码

2018-08-06 14:59:07

2009-02-01 13:02:33

2022-02-18 13:44:30

区块链微软网络安全

2022-03-20 16:45:19

KDE请勿打扰
点赞
收藏

51CTO技术栈公众号