CISA警告Chrome和Excel解析库中存在被利用的漏洞CVE-2023-7024、CVE-2023-7101

Anna艳娜2024-01-05 10:13:27
CISA敦促在出现两个严重漏洞时迅速采取行动。网络安全和基础设施安全局(CISA)已向联邦机构发出紧急通知,规定缓解工作的最后期限为1月23日。


网络安全和基础设施安全局(CISA)已识别出两个重大漏洞,并将其添加到其已知的可利用漏洞(KEV)目录中。这些漏洞涉及Google Chrome中最近修补的缺陷以及影响开源Perl库“Spreadsheet::ParseExcel”的错误,该库专为读取Excel文件中的信息而设计。


具体漏洞如下:


CVE-2023-7024:Google Chromium WebRTC堆缓冲区溢出漏洞


CVE-2023-7101:Spreadsheet::ParseExcel远程代码执行漏洞


CVE-2023-7024:是Google Chrome的WebRTC组件中的一个严重漏洞,于2023年12月发现。它允许攻击者通过特制的HTML页面潜在地利用堆缓冲区溢出,最终获得受害者计算机的控制权。


谷歌于2023年12月修补了该安全漏洞,对于将Chrome浏览器更新到修补版本的用户来说,不再被视为威胁。但是,保持浏览器和其他软件处于最新状态以保护自己免受未来漏洞的影响非常重要。


CVE-2023-7101:是一个影响Spreadsheet::ParseExcel(用于解析Excel文件的Perl模块)的严重漏洞。它暴露了远程代码执行(RCE)风险,允许攻击者通过特制的Excel文件控制易受攻击的系统。


该漏洞允许攻击者将恶意Excel文件上传到易受攻击的系统。该漏洞还可以通过评估数字格式字符串来利用,从而导致在系统上执行任意代码。这可能允许攻击者窃取敏感数据(密码、个人信息等)、安装恶意软件、破坏系统操作并完全控制受影响的系统。


使用依赖于Spreadsheet::ParseExcel版本0.65的软件的用户操作系统当前面临此安全风险。此漏洞将影响范围扩展到使用Perl开发的各种应用程序和框架,从而可能影响广泛的系统。


Metacpan已发布修补版本0.66,以解决已识别的漏洞。作为预防措施,强烈建议用户及时更新到此修补版本。如果无法立即更新,建议实施缓解措施,例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。


CISA已向联邦机构发出紧急通知,设定缓解措施的最后期限为1月23日。指示各机构遵循供应商指南,立即解决这些漏洞或停止使用受影响的产品。

为了深入了解CVE-2023-7101漏洞,我们联系了Qualys威胁研究部门的首席威胁情报分析师Aubrey Perin先生,他告诉我们说:“CVE-2023-7101是一个Perl库漏洞,已获得网络和电子邮件安全公司Barracuda在设备中的使用证明了它的吸引力。”


“建议企业彻底评估其环境中是否存在需要更新或删除的 'Spreadsheet::ParseExcel' 实例,”Aubrey建议。“梭子鱼的观察表明,中国威胁行为者利用此漏洞部署恶意软件。随着该漏洞现已公开,勒索软件威胁行为者利用该漏洞进行恶意工具的风险加大,”奥布里警告说。


信息安全cisa
本作品采用《CC 协议》,转载必须注明作者和本文链接
工业信息安全资讯
工业信息安全快讯
人们还看到,一些安全主管因隐瞒数据泄露而被判入狱。他们还需要报告安全事件并制定应对计划。Lehmann表示,企业开始加大力度跟踪开源软件,因为他们发现对他们使用的软件的来源和质量进行未经验证的信任会造成损害。Iqbal认为,一个良好的AppSec程序应该是软件开发生命周期的一部分。2023年,防范这些威胁仍将是一个复杂的过程。
美国网络安全和基础设施安全局(CISA)与来自加拿大、新西兰、荷兰和英国的网络安全当局一起,详细介绍了在攻击开始阶段被利用最多的控制和做法。
工业信息安全资讯
当地时间12月1日,美国国土安全部下属的网络安全和基础设施安全局 (CISA) 局长Jen Easterly宣布任命该局新成立的网络安全咨询委员会的前 23 名成员,该委员会将就政策、计划、规划、和培训以加强国家的网络防御。网络安全咨询委员会是由2021年国防授权法案授权,于2021年6月成立,以推进CISA的网络安全使命,加强美国的网络安全。作为一个独立的咨询机构,该委员会就一系列网络安全问题、
当今世界正处于百年未有之大变局,国际形势风云变幻,推动全球治理体系深刻变革,网络空间治理作为全球治理的全新命题和重要领域,关系着全人类的命运。
信息安全是信息化持续发展的根本保障,信息安全风险评估则是信息安全保障工作的基础性工作和重要环节。
为了应对这些威胁,美国网络安全和基础设施安全局敦促政府部门和民间组织迅速更新和修补系统,实施多因素身份验证,并要求采用强大的、唯一的密码。勒索软件活动在去年显著增加。根据美国联邦调查局的数据,2021年的勒索软件投诉多达2048起。通常情况下,勒索软件攻击者会通过威胁公开发布机密信息来敲诈企业,向企业高管发送相关信息以迫使其迅速采取行动。
Anna艳娜
暂无描述