CH azonosító
CH-13856Angol cím
Cisco WebEx Browser Extension Remote Code Execution VulnerabilityFelfedezés dátuma
2017.01.23.Súlyosság
KritikusÉrintett rendszerek
CISCOWebEx Meeting Center
WebEx Meetings Server
Érintett verziók
Cisco Webex kiegésztő Google Chrome, Mozilla Firefox, és Internet Explorer számára.
Összefoglaló
A Cisco WebEx plugin kritikus kockázati besorolású sérülékenysége vált ismertté, amely a nem hitelesített távoli felhasználó számára tetszőleges kód futtatását teszi lehetővé.
Leírás
A sérülékenység a Windows platformon futó Cisco WebEx Meeting Server és Cisco WebEx Meeting Center böngésző kiegészítőket érinti.
A sérülékenységet egy API válaszelemzőbeli tervezési hibája okozza. Ha a támadónak sikerül rávennie az érintett felhasználót, hogy egy általa kontrollált weboldalt meglátogasson, pl. egy speciálisan összaállított hivatkozás segítségével, akkor tetszőleges kód futtatására kerülhet sor a böngésző folyamat jogosultságaival.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Alternatív megoldásként – WebEx konferenciához – a Windows 10 felhasználóknak a Microsoft Edge használata javasolt, miután azt nem érinti a szóban forgó sérülékenység.
UPDATE:
A Cisco frissítést adott ki a szoftverhez, amely a Google Chrome, Firefox, és az Internet Explorer esetében is kiküszöböli a sérülékenységet!
Támadás típusa
execute arbitrary codeHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2017-3823 - NVD CVE-2017-3823