安全路透社
当前位置:安全路透社 > 网络转载 > 正文

思科 WebEx 视频会议插件再度发现严重RCE漏洞,这是今年第二次了

思科的 WebEx 浏览器插件(Chrome 和 Firefox)中再度发现严重(Critical)远程执行代码漏洞(CVE-2017-6753),这已经是今年第二次在 WebEx 中发现严重漏洞。攻击者可利用该漏洞在目标计算机的浏览器上远程注入恶意代码,目前思科已经在 WebEx 的 1.0.12 版本中修复了这个问题。

思科 WebEx 浏览器插件漏洞可以导致未经认证的远程攻击者,使用 Web 浏览器权限执行任意代码。这个漏洞会影响到所有运行在微软 Windows 系统上的 WebEx 插件,包括 Cisco WebEx Meetings Server ,Cisco WebEx Centers( Meeting Center, Event Center, Training Center, 和 Support Center)以及 Cisco WebEx Meetings 。

由于受影响的是 Chrome 和 Firefox 用户,而目前在 Chrome 及 Firefox 上使用 WebEx 插件的用户超过 2000 万人,该漏洞等级为严重,因此其波及范围较大。

这个漏洞利用其实非常简单,攻击者只需要让安装了受影响的 WebEx 浏览器插件的受害者,通过浏览器访问某个包含恶意代码的网站页面即可。攻击者通过远程代码注入可以获取受害者计算机的权限,劫持计算机设备。

思科的 WebEx 浏览器插件再度发现远程代码执行漏洞 

应尽早升级到最新版本

【Cisco WebEx 最新1.0.12 版本地址】Chrome, FireFox

Google Project Zero 团队的 Tavis Ormandy 和安全公司 Divergent Security 的Cris Neckar 发现了该漏洞。本月初,他们发现 WebEx 扩展允许远程攻击者使用 Web 浏览器权限,执行任意代码。这个安全漏洞由此被发现,漏洞编号 CVE-2017-6753 ,于 7 月 6 日向网络巨头思科报告。

大约在一周后,思科将 WebEx 升级至 1.0.12 版本,一并发布了 Internet Explorer 版本的 WebEx 插件的更新(因为该插件与 Chrome 和 Firefox 版本以及 WebEx 桌面应用程序共享组件)。新版本已经修复了该漏洞,但思科在安全报告中提到,目前尚无可用的缓解方案。

7 月 17 日周一,思科和 Google Project Zero 共同发布了有关该漏洞的详细介绍。思科表示目前并没有发现该漏洞已经被恶意攻击者利用。

思科指出,

这些漏洞是由 设计缺陷 引起的,攻击者可以通过让目标用户访问特定网页来利用漏洞。在Windows上运行的 WebEx 会议服务器,WebEx 中心和 WebEx 会议的浏览器扩展程序(Chrome 及 FireFox)均受到影响。

WebEx 插件中出现严重漏洞并非初次

这并非首次在思科 WebEx 插件中发现关键漏洞。今年 1 月,研究人员就曾发现一个远程代码执行漏洞——由于该扩展使用 nativeMessaging,可以提取 magic 模式的任意URL,所以该 magic 字符串可以让任何网站执行任意代码!上次的漏洞就导致 Google 和 Mozilla 临时将 WebEx 拓展应用从其商店中撤除。 

思科 WebEx 是商务及网络用户进行在线会议,以及视频会议的最流行的通讯工具之一。而目前该浏览器插件以及有超过 2000 万用户日常在使用。 

思科的 WebEx 浏览器插件再度发现远程代码执行漏洞

但此次 Cisco WebEx 受到漏洞影响的插件仅为 Chrome 和 Firefox 版本,苹果的 Safari,微软的 IE 以及 Edge 都不受该 RCE 影响。Mac 及 Linx平台的 Cisco WebEx Productivity Tools 生产力工具、Cisco WebEx 浏览器扩展,都不受漏洞影响。用户若要查看 WebEx 版本是否为最新,只需要进入浏览器的扩展程序菜单——如果运行的版本并非 1.0.12 ,则选择“现在升级扩展”(Chrome)或“检查更新”(Firefox)选项。


*参考来源:cisco/securityaffairs/blog/theregister,Elaine编译,转载请注明FreeBuf.COM

未经允许不得转载:安全路透社 » 思科 WebEx 视频会议插件再度发现严重RCE漏洞,这是今年第二次了

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册