思科 添加新安全功能，修補 Webex 中嚴重漏洞

思科本周宣布，Webex已添加了新的安全功能，修復了會議產品中的多個高嚴重性漏洞。

在Cisco Live 2020活動中，這家網絡巨頭發布公告，它已將數據丟失防護（DLP）功能保留，將合法保留電子數據展示功能擴展到了Webex Meetings。

思科解釋說：“這為所有會議內容提供了前所未有的安全性和保護，包括記錄，轉錄，操作項目和重點內容。擴展了端到端加密選項，包括采用GCM模式的AES 256位加密，為滿足數據需求提供了增強的保護，并防止篡改。”

該公司還于本周發布了幾項有關Webex漏洞的安全公告，其中包括三項被歸類為高嚴重性和一項中度嚴重性。

高危漏洞之一（CVE-2020-3361）允許未經身份驗證的遠程攻擊者通過發送經特殊設計的請求來獲得對Webex站點的未授權訪問。該漏洞影響Cisco Webex Meetings站點和Cisco Webex Meetings Server。

Webex Meetings桌面應用程序中發現了另一個漏洞（CVE-2020-3263）。通過誘惑用戶單擊惡意URL，它可以允許未經身份驗證的遠程攻擊者執行目標系統上已經存在的任意程序。

思科警告說：“如果惡意文件被植入系統或可訪問的網絡文件路徑中，則攻擊者可以在受影響的系統上執行任意代碼。”

適用于Mac的Webex Meetings桌面應用程序受到漏洞（CVE-2020-3342）的影響，該漏洞使未經身份驗證的遠程攻擊者可以通過濫用應用程序的軟件更新功能并說服受害者訪問目標計算機來在目標系統上執行任意代碼。惡意網站，其提供的文件類似于合法Webex網站上托管的文件。

Trustwave研究人員發現，用于Windows的Webex Meetings App受漏洞影響，該漏洞可能使有權訪問目標系統的攻擊者從內存中獲取用戶名，會議信息和身份驗證令牌。

“在攻擊情形下，在安裝了Windows版WebEx客戶端的計算機上運行的任何惡意本地用戶或惡意進程都可以監視內存映射文件中的登錄許可。一旦找到許可證，就像任何泄漏的憑證一樣，可以將其傳輸到某個地方，以便可以用于登錄有問題的WebEx帳戶，下載會議記錄或者查看/編輯會議等，” Trustwave在博客中說。

思科周三還宣布，已在其TelePresence產品和Small Business RV系列路由器中修補了高嚴重性漏洞。盡管可以遠程利用這些缺陷，但它們需要身份驗證，攻擊者需要管理員特權。

思科沒有發現證據表明本周修復的任何漏洞已被利用。