CISA warnt vor aktiv ausgenutzten Schwachstellen in Chrome und Excel-Parsing-Bibliothek

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat zwei Sicherheitslücken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen: eine kürzlich behobene Anfälligkeit in Google Chrome und einen Bug in der Open-Source Perl-Bibliothek Spreadsheet::ParseExcel, die zum Lesen von Informationen in Excel-Dateien verwendet wird.

CISA hat Bundesbehörden bis zum 23. Januar Zeit gegeben, um die beiden Sicherheitsprobleme, die als CVE-2023-7024 und CVE-2023-7101 verfolgt werden, entsprechend den Anweisungen der Anbieter zu beheben oder die Nutzung der betroffenen Produkte einzustellen.

Spreadsheet::ParseExcel RCE Die erste von CISA hinzugefügte Schwachstelle, CVE-2023-7101, ist eine Remote-Code-Ausführungsanfälligkeit, die Versionen 0.65 und älter der Bibliothek Spreadsheet::ParseExcel betrifft. Die Schwachstelle entsteht durch die Bewertung von Number-Format-Strings innerhalb der Excel-Verarbeitungslogik und ermöglicht es, ungeprüften Input in einen String-Typ „eval“ einzuspeisen.

Spreadsheet::ParseExcel ist eine allgemeine Bibliothek, die Datenimport/-exportoperationen auf Excel-Dateien ermöglicht und Analyse- sowie Automatisierungsskripte ausführt. Sie bietet auch eine Kompatibilitätsschicht für die Verarbeitung von Excel-Dateien in Perl-basierten Webanwendungen.

Ein Produkt, das die Open-Source-Bibliothek verwendet, ist Barracuda ESG (Email Security Gateway), das Ende Dezember von chinesischen Hackern angegriffen wurde, die die CVE-2023-7101 in Spreadsheet::ParseExcel ausnutzten, um Geräte zu kompromittieren.

Google Chrome Buffer Overflow Die neueste aktiv ausgenutzte Schwachstelle, die zu KEV hinzugefügt wurde, ist CVE-2023-7024, ein Heap-Buffer-Overflow-Problem in WebRTC im Webbrowser Google Chrome. Die Schwachstelle könnte Webbrowser beeinflussen, die WebRTC verwenden, einschließlich, aber nicht beschränkt auf Google Chrome.

Die Lücke wurde von Googles Threat Analysis Group (TAG) entdeckt und erhielt am 20. Dezember eine Notfallaktualisierung in den Versionen 120.0.6099.129/130 für Windows und 120.0.6099.129 für Mac und Linux.

Diese Schwachstelle war die achte Zero-Day-Sicherheitslücke, die Google 2023 in Chrome behoben hat, was das anhaltende Bemühen und die Zeit unterstreicht, die Hacker aufwenden, um Schwachstellen in dem weit verbreiteten Webbrowser zu finden und auszunutzen.

Der KEV-Katalog von CISA ist eine wertvolle Ressource für Organisationen weltweit, die ein besseres Management und Priorisierung von Schwachstellen anstreben.