CISA：注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞

Spreadsheet::ParseExcel RCE

CISA 必修清单中新增的第一个漏洞是CVE-2023-7101，它是一个远程代码执行漏洞，影响 Spreadsheet::ParseExcel 库 0.65及更老版本。CISA提到，“Spreadsheet::ParseExcel 因将文件中的未验证输入传递到字符串类型 ‘eval’ 而导致包含一个远程代码执行漏洞。具体而言，该漏洞是因为 Excel 解析逻辑中的整形格式字符串的评估造成的。”

Spreadsheet::ParseExcel是一种通用库，允许在 Excel 文件上执行数据导入/导出操作、运行分析和自动化脚本。该产品也为在基于 Perl 的 web 应用上处理 Excel 文件提供了兼容性。

Barracuda ESG 产品就使用了该开源库，攻击者利用其中包含的CVE-2023-7101传播多款恶意软件。2023年12月20日，该厂商发布安全更新，推出了 Spreadsheet::ParseExcel 新版本 0.66，修复了该漏洞。

Chrome 缓冲溢出漏洞

CISA 还将位于 Chrome 浏览器 WebRTC 中的堆缓冲溢出漏洞CVE-2023-7024增加到必修清单。

CISA 提到，“Google Chromium WebRTC 是为web浏览器提供实时通信功能的开源项目，其中含有一个堆缓冲溢出漏洞，可导致攻击者引发崩溃或代码执行。该漏洞影响使用 WebRTC 的 web 浏览器，包括但不仅限于 Google Chrome。”

该漏洞是由谷歌威胁分析团队 (TAG) 发现的，已在12月20日新发布的版本中紧急修复，即 Windows 120.0.6099.129/130版本以及 Mac 和 Linux 的120.0.6099.129版本。

这是谷歌在2023年修复的第8个 Chrome 0day 漏洞，说明了黑客一直都在查找并利用 Chrome 中的漏洞。