Alerte CISA sur des bogues d’analyse Chrome et Excel.

Mise en garde de la CISA sur des vulnérabilités exploitées dans Chrome et Excel.

La CISA met en garde contre des bogues activement exploités dans la bibliothèque d’analyse Chrome et Excel. L’Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté deux vulnérabilités au catalogue des vulnérabilités exploitées connues, une faille récemment corrigée dans Google Chrome et un bug affectant une bibliothèque Perl open source permettant de lire des informations dans un fichier Excel appelé Spreadsheet::ParseExcel. L’agence américaine de cyberdéfense a donné aux agences fédérales jusqu’au 23 janvier pour atténuer les deux problèmes de sécurité identifiés comme CVE-2023-7024 et CVE-2023-7101 selon les instructions du fournisseur ou pour cesser d’utiliser les produits vulnérables.

CVE-2023-7024, Une vulnérabilité a été découverte dans Google Chrome. Le dépassement de tampon du tas dans WebRTC dans Google Chrome avant 120.0.6099.129 permettait à un attaquant distant d’exploiter potentiellement la corruption du tas via une page HTML contrefaite. (Gravité de sécurité de Chromium : élevée). Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur. Google indique que la vulnérabilité CVE-2023-7024 est activement exploitée.

CVE-2023-7101, Spreadsheet::ParseExcel version 0.65 est un module Perl utilisé pour analyser les fichiers Excel. Spreadsheet::ParseExcel est vulnérable à une vulnérabilité d’exécution de code arbitraire (ACE) en raison du passage d’entrées non validées d’un fichier dans une « évaluation » de type chaîne. Plus précisément, le problème provient de l’évaluation des chaînes de format Number (à ne pas confondre avec les chaînes de format de style printf) dans la logique d’analyse Excel.


La politique de sécurité informatique, essentielle à l'ère numérique, vise à protéger les systèmes, réseaux et données contre les menaces en ligne. Elle établit des directives pour gérer les risques, mettre en place des mesures de prévention et de détection des intrusions, ainsi que des protocoles de réponse en cas d'incidents. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

En promouvant la sensibilisation, la formation et la conformité aux normes de sécurité, une politique efficace renforce la résilience des organisations face aux cyberattaques, garantissant la confidentialité, l'intégrité et la disponibilité des informations cruciales.


La Cybersecurity and Infrastructure Security Agency (CISA) est une agence fédérale américaine sous la supervision du département de la Sécurité intérieure des États-Unis, créée le 16 novembre 2018 à la suite de la promulgation du Cybersecurity and Infrastructure Security Agency Act (en) de 2018. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement. En cybersécurité, la mission du CISA est de diriger les efforts visant à protéger le domaine fédéral des réseaux du gouvernement civil. Elle vise aussi à collaborer avec le secteur privé pour accroître la sécurité des réseaux critiques. La CISA dirige l'effort national pour comprendre, gérer et réduire les risques pour l'infrastructure cyber et physique sur laquelle les Américains comptent à chaque heure de chaque jour. Sa mission s'étend à trois domaines principaux : la cybersécurité, la sécurité des infrastructures et les communications d'urgence.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut