思科WebEx爆高危漏洞,允许远程执行代码


近日,思科发布了关于Chrome浏览器和Firefox浏览器WebEx扩展插件的更新,以解决之前由Google和Divergent Security的研究人员共同发现的WebEx扩展插件远程代码执行漏洞。

来自Google精英黑客团队Project Zero的Tavis Ormandy和来自Cris Neckar的Divergent Security都是Chrome Security Team的前成员,他们在本月初发现WebEx扩展插件允许远程攻击者可以使用Web浏览器的特权执行任意代码,而这个漏洞来自于思科在近期对WebEx扩展插件进行的一些修改。

安全漏洞被标记为CVE-2017-6753,于7月6日向各大科技巨头提交了报告。大约在一周后,WebEx扩展插件的新版本1.0.12发布。在同一时间,思科和Google Project Zero共同公布了有关该漏洞的细节详情。

据思科介绍,该漏洞因为“设计缺陷”而引起,攻击者可以通过让目标用户访问特制网页来利用这个漏洞。在Windows系统中运行的WebEx会议服务器、WebEx中心和WebEx会议的浏览器扩展插件都会受到影响。

同时,思科还发布了最新版本的Internet Explorer浏览器WebEx扩展插件,该插件与Chrome浏览器和Firefox浏览器以及WebEx桌面应用程序共享组件。

思科表示,无需再担心这个漏洞会带来危害,到目前为止没有监测到有利用这个漏洞发起的攻击事件。

Google Project Zero公布的内容包括漏洞的具体细节和漏洞的利用方法,也包括思科是如何解决问题的一些细节。

这并非Tavis Ormandy第一次在WebEx扩展插件中发现高危漏洞。研究人员在一月份就已经发现了一个远程代码执行漏洞,导致Google和Mozilla都临时从其商店中下架了WebEx扩展插件。

思科最初的解决方案并不完善,并且在Tavis Ormandy披露之后花了好几天时间才发布了完善后的补丁。

 

本文 黑客视界 编译,转载请注明“转自黑客视界”,并附上链接。
原文链接:http://www.securityweek.com/critical-webex-flaws-allow-remote-code-execution

作者
折腰的五斗米
折腰的五斗米 世间诸多不平,如我码字千万,却换不来你一句留言!!!
分享到