CISA Warns of Active Exploitation of Chromium and Spreadsheet::ParseExcel
2024/01/02 SecurityOnline — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、サイバー脅威との継続的な戦いを強調する、重大な警告を発した。同庁は、2024年1月2日に2つの深刻な脆弱性を KEV (Known Exploited Vulnerabilities:既知の脆弱性) カタログに追加し、ユーザーと連邦政府機関に早急な対策の必要性を警告している。
1つ目の脆弱性 CVE-2023-7024 は、CVSS (Common Vulnerability Scoring System) 8.8 と評価されており、Google Chromium プラットフォームのユーザーに重大な脅威をもたらす可能性があるものだ。この脆弱性は、モダン・ブラウザのリアルタイム通信のコア・コンポーネントである WebRTC フレームワーク内における、ヒープベースのバッファ・オーバーフローのバグである。この脆弱性が悪用された場合には、プログラムのクラッシュおよび、攻撃者による任意のコード実行にいたる可能性がある。
この脆弱性は、2023年12月19日に Google Threat Analysis Group (TAG) の Clement Lecigne と Vlad Stolyarov により発見/報告されたものだ。Google Chrome のユーザーに推奨されるのは、潜在的な悪用に対する防御を強化するための、Windows 版 120.0.6099.129/130、macOS/Linux 版 120.0.6099.129 へのアップデートである。
2つ目の脆弱性 CVE-2023-7101 は、Excel ファイルの解析に広く使用されているツールである Spreadsheet::ParseExcel 内に潜んでいる。この脆弱性は、Excel の解析ロジックに存在し、特に Number フォーマット文字列の評価を通じて、このツールが有効ではない入力を扱うときに生じる。企業/個人において Excel ファイルが広く使用されていることを考えると、このリモート・コード実行を可能にする脆弱性は、重大な懸念事項だといえる。
CISA のアドバイザリが連邦政府機関に対して定めている、修正プログラムの実施期限は、2024年1月23日となっている。脅威アクターからネットワークとデータを守るために、この脆弱性への緊急の対処が重要である。
CISA の KEV に、Chromium WebRTC と Spreadsheet::ParseExcel の脆弱性が追加されました。2024年に入ってからの、第一弾となります。Chromium に関しては、2023/12/20 の「Google Chrome ゼロデイ脆弱性 CVE-2023-7024 が FIX:WebRTC フレームワークの欠陥」を、Spreadsheet::ParseExcel に関しては、2023/12/25 の「Barracuda ESG におけるゼロデイ脆弱性 CVE-2023-7102:エクスプロイトも観測?」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.