Deux failles sont activement exploitées par des pirates. La première concerne les versions non corrigées de Google Chrome, la seconde est liée à une bibliothèque open-source liée à Excel.
Les cybercriminels exploitent activement deux bogues. C’est ce que signale l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). La première fuite concerne Google Chrome et porte le nom de CVE-2023-7024. Ce sérieux bogue permet aux attaquants d’exécuter du code à distance via un problème de débordement de mémoire tampon. Le bogue a déjà été découvert l’année dernière et Google a lancé un correctif le 20 décembre. Mais il y a encore des gens qui n’ont pas encore installé ce correctif et les pirates en profitent rapidement.
Bibliothèque open source
L’autre bogue se trouve dans une bibliothèque open-source : Spreadsheet::ParseExcel. Cette bibliothèque autorise, entre autres, l’importation et l’exportation de données à partir d’Excel. Les développeurs l’utilisent comme couche de compatibilité pour traiter les fichiers Excel dans les applications web fondées sur Perl. Cependant, les versions 0.65 et plus anciennes de la bibliothèque sont vulnérables à un bogue nommé CVE-2023-7101. Ce bogue permet aux attaquants d’exécuter du code propriétaire.
La bibliothèque est utilisée par Barracuda, entre autres, pour son Email Security Gateway. Vers la fin de l’année dernière, des pirates chinois ont visé ce produit. Barracuda a lancé un correctif avant le Nouvel An.
Un correctif général pour la vulnérabilité de la bibliothèque est bien sûr plus complexe. Il faut que les développeurs qui ont intégré la bibliothèque open source fournissent à chaque fois une mise à jour dans leurs applications vers une version qui n’est plus vulnérable.