CISA发出警告：Chrome和Excel解析库存在被利用的漏洞

Hackread网站消息
 ，发出Chrome和Excel解析库存在被利用的警告解析漏洞 。在发现漏洞之后 ，库存美国网络安全和基础设施安全局（CISA）立即向联邦机构发布了紧急通知，被利要求机构在1月23日前完成风险缓解工作，漏洞并遵循供应商的发出指南迅速解决这些漏洞。

目前 ，警告解析美国网络安全和基础设施安全局（CISA）已经将两个识别出来的库存重大漏洞添加到被利用漏洞（KEV）目录中。其中一个是被利最近修补的Google Chrome中的漏洞，另一个是免费模板漏洞影响开源Perl库“Spreadsheet::ParseExcel”的漏洞，该库被用于读取Excel文件中的发出信息。

具体漏洞如下 ：

CVE-2023-7024：Google Chromium WebRTC堆缓冲区溢出漏洞。警告解析CVE-2023-7101：Spreadsheet::ParseExcel远程代码执行漏洞
。库存CVE-2023-7024：

CVE-2023-7024是被利2023年12月前发现的Google Chrome中WebRTC组件的一个严重漏洞 ，它允许攻击者通过特制的漏洞HTML页面利用堆缓冲区溢出，最终控制受害者的电脑
。

Google在2023年12月已经修补了这个安全漏洞 ，源码库对于那些已经更新到修补版本浏览器的用户来说，它不再构成威胁  。为了保护浏览器和其他软件不受未来漏洞的侵害，建议用户将它们更新到最新版本 。

CVE-2023-7101

CVE-2023-7101是一个影响Spreadsheet::ParseExcel的关键漏洞，而Spreadsheet::ParseExcel是用来解析Excel文件的Perl模块，它暴露了远程代码执行（RCE）的风险 ，允许攻击者通过特制的源码下载Excel文件控制易受攻击的系统。

该漏洞允许攻击者将恶意Excel文件上传到易受攻击的系统，也可以利用数字格式字符串在系统上执行任意代码，攻击者可能通过这些操作窃取敏感数据（密码 、个人信息等）、安装恶意软件、扰乱系统操作 ，甚至完全控制受影响的系统。

目前 ，Spreadsheet::ParseExcel软件版本是0.65的用户可能会受到这一漏洞的香港云服务器影响。值得注意的是，该漏洞的影响范围扩展到了用Perl开发的各种应用程序和框架 ，因此也可能会影响整个系统  。

为了解决这一漏洞 ，Metacpan已经发布了一个修补版本0.66，作为预防措施，强烈建议用户尽快更新到修补版本。在无法立即更新的情况下 ，建议用户采取缓解措施，模板下载例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。

Qualys威胁研究部门首席威胁情报分析师奥布雷·佩林表示  ，“CVE-2023-7101是一个Perl库的漏洞
 ，它已经引起了广泛关注，这一点在网络和电子邮件安全公司Barracuda的设备中的使用可以看出 。“

奥布雷指出  ，这一漏洞已被公开，勒索软件威胁行为者利用它来进行恶意操作的风险已经增加，建议企业彻底评估环境  ，建站模板检查是否有‘Spreadsheet::ParseExcel’实例需要更新或移除。