CISA เพิ่มช่องโหว่ Chrome และ Perl library ใน Known Exploited Vulnerabilities catalog

8/67 (IT) ประจำวันศุกร์ที่ 5 มกราคม 2567

US Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใน Google Chrome และ Perl library แบบโอเพ่นซอร์สสำหรับการอ่านข้อมูลในไฟล์ Excel ที่เรียกว่า Spreadsheet::ParseExcel ลงใน Known Exploited Vulnerabilities (KEV) catalog โดยรายการช่องโหว่ที่เพิ่มลงใน catalog มีดังนี้

– CVE-2023-7024 – ช่องโหว่คือ Heap buffer overflow ใน WebRTC ช่องโหว่ดังกล่าวได้ถูกรายงานโดย Clément Lecigne และ Vlad Stolyarov จาก Threat Analysis Group ของ Google เมื่อวันที่ 12-12-2023 และแก้ไขได้ภายในวันเดียวที่ Google เผยแพร่การอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day

– CVE-2023-7101 – ช่องโหว่ใน Spreadsheet::ParseExcel เวอร์ชัน 0.65 มีความเสี่ยงต่อการถูก Remote Code Execution Vulnerability

โดย Barracuda เป็นบริษัทผู้ให้บริการด้านการป้องกันอีเมลและการรักษาความปลอดภัยเครือข่ายได้รายงานว่าช่องโหว่ CVE-2023-7101 ของหลายองค์กรยังไม่ได้รับการแก้ไขควรอัปเดตความปลอดภัยของ Spreadsheet::ParseExcel เป็นเวอร์ชัน 0.66 และเมื่อวันที่ 21 ธันวาคม Barracuda ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2023-7102 ในอุปกรณ์ Email Security Gateway (ESG) โดยช่องโหว่นี้ได้ถูกใช้ exploit จากกลุ่มแฮกเกอร์จีน UNC4841 Chinese    

หน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ที่ระบุภายในวันที่กำหนด เพื่อป้องกันเครือข่ายจากการโจมตีที่ใช้ประโยชน์จากช่องโหว่ใน catalog ซึ่งผู้เชี่ยวชาญแนะนำให้องค์กรเอกชนควรตรวจสอบ catalog และแก้ไขช่องโหว่ด้วย โดยที่ CISA สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่เหล่านี้ภายในวันที่ 23 มกราคม 2024

แหล่งข่าว https://securityaffairs.com/156854/security/cisa-adds-chrome-perl-library-flaws-known-exploited-vulnerabilities-catalog.html