Cisco WebEx擴展中再次發現嚴重的RCE漏洞
Cisco WebEx是一款流行的在線活動溝通工具,包括會議、網絡研討會和視頻會議,幫助用戶與世界各地的同事建立聯系和協作。該擴展大約有2000萬活躍用戶。
遠程代碼執行缺陷(CVE-2017-6753)是由谷歌零號項目的塔維斯·奧曼迪(Tavis Ormandy)和Divergent Security的克里斯·內卡(Cris Neckar)發現的,是由于WebEx瀏覽器擴展的設計缺陷造成的。
要利用該漏洞,攻擊者只需誘使受害者通過安裝了受影響擴展的瀏覽器訪問包含精心編制的惡意代碼的網頁。
成功利用此漏洞可能會導致攻擊者以受影響瀏覽器的權限執行任意代碼,并獲得對受影響系統的控制。奧曼迪說:“我發現凈化工作方式存在一些問題,并利用遠程代碼執行漏洞來演示這些問題”。“僅這一擴展就有2000多萬活躍的Chrome用戶,FireFox和其他瀏覽器也可能受到影響”。
Cisco已經修補了該漏洞,并發布了針對Chrome和Firefox瀏覽器的“Cisco WebEx Extension 1.0.12”更新,以解決此問題,不過“沒有解決此漏洞的解決方法”
“當Cisco WebEx會議服務器、Cisco WebEx中心(會議中心、活動中心、培訓中心和支持中心)和Cisco WebEx會議在Microsoft Windows上運行時,該漏洞會影響這些會議的瀏覽器擴展,”Cisco在今天發布的一份咨詢中確認。
下載Cisco WebEx擴展1.0.12
- 谷歌瀏覽器擴展
- 附加元件
通常,建議用戶以非特權用戶的身份運行所有軟件,以減少成功攻擊的影響。
幸運的是,蘋果的Safari、微軟的Internet Explorer和微軟的Edge沒有受到該漏洞的影響。
該公司證實,Cisco WebEx生產力工具、針對Mac或Linux的Cisco WebEx瀏覽器擴展,以及Microsoft Edge或Internet Explorer上的Cisco WebEx不受該漏洞的影響。
Cisco WebEx擴展中的遠程代碼執行漏洞已在今年第二次被發現。
今年早些時候,奧曼迪也提醒這家網絡巨頭注意WebEx瀏覽器擴展中的一個RCE漏洞,這甚至導致谷歌和Mozilla暫時從他們的商店中刪除了該插件。
