CISA敦促在出现两个严重漏洞时迅速采取行动。网络安全和基础设施安全局(CISA)已向联邦机构发出紧急通知,规定缓解工作的最后期限为1月23日。


网络安全和基础设施安全局(CISA)已识别出两个重大漏洞,并将其添加到其已知的可利用漏洞(KEV)目录中。这些漏洞涉及Google Chrome中最近修补的缺陷以及影响开源Perl库“Spreadsheet::ParseExcel”的错误,该库专为读取Excel文件中的信息而设计。


具体漏洞如下:


CVE-2023-7024:Google Chromium WebRTC堆缓冲区溢出漏洞


CVE-2023-7101:Spreadsheet::ParseExcel远程代码执行漏洞


CVE-2023-7024:是Google Chrome的WebRTC组件中的一个严重漏洞,于2023年12月发现。它允许攻击者通过特制的HTML页面潜在地利用堆缓冲区溢出,最终获得受害者计算机的控制权。


谷歌于2023年12月修补了该安全漏洞,对于将Chrome浏览器更新到修补版本的用户来说,不再被视为威胁。但是,保持浏览器和其他软件处于最新状态以保护自己免受未来漏洞的影响非常重要。


CVE-2023-7101:是一个影响Spreadsheet::ParseExcel(用于解析Excel文件的Perl模块)的严重漏洞。它暴露了远程代码执行(RCE)风险,允许攻击者通过特制的Excel文件控制易受攻击的系统。


该漏洞允许攻击者将恶意Excel文件上传到易受攻击的系统。该漏洞还可以通过评估数字格式字符串来利用,从而导致在系统上执行任意代码。这可能允许攻击者窃取敏感数据(密码、个人信息等)、安装恶意软件、破坏系统操作并完全控制受影响的系统。


使用依赖于Spreadsheet::ParseExcel版本0.65的软件的用户操作系统当前面临此安全风险。此漏洞将影响范围扩展到使用Perl开发的各种应用程序和框架,从而可能影响广泛的系统。


Metacpan已发布修补版本0.66,以解决已识别的漏洞。作为预防措施,强烈建议用户及时更新到此修补版本。如果无法立即更新,建议实施缓解措施,例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。


CISA已向联邦机构发出紧急通知,设定缓解措施的最后期限为1月23日。指示各机构遵循供应商指南,立即解决这些漏洞或停止使用受影响的产品。

为了深入了解CVE-2023-7101漏洞,我们联系了Qualys威胁研究部门的首席威胁情报分析师Aubrey Perin先生,他告诉我们说:“CVE-2023-7101是一个Perl库漏洞,已获得网络和电子邮件安全公司Barracuda在设备中的使用证明了它的吸引力。”


“建议企业彻底评估其环境中是否存在需要更新或删除的 'Spreadsheet::ParseExcel' 实例,”Aubrey建议。“梭子鱼的观察表明,中国威胁行为者利用此漏洞部署恶意软件。随着该漏洞现已公开,勒索软件威胁行为者利用该漏洞进行恶意工具的风险加大,”奥布里警告说。


CISA 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接