思科 webex 擴充再曝嚴重的遠端代碼執行漏洞 , 今年再曝嚴重的遠端代碼執行漏洞(cve-2017-6753),這是本年度第二次發現該擴充存在漏洞。攻擊者可利用該漏洞在目标機器上以受影響浏覽器權限遠端執行惡意代碼。
“ 思科用于 google chrome 和 mozilla firefox 浏覽的 webex 擴充存在漏洞 , 允許遠端未認證攻擊者以受影響浏覽器權限在受影響系統中執行任意代碼。 思科webex會議伺服器、思科webex中心(會議中心、事件中心、教育訓練中心及支援中心)和思科webex會議系統若運作在微軟windows環境下,會受此漏洞影響。
思科webex是最受企業和網際網路使用者歡迎的通信工具之一,用于線上會議、網絡研讨會和視訊會議。該擴充有約2000萬活躍使用者。考慮到2000多萬人在使用webex,漏洞造成的影響會相當嚴重。
漏洞是google project zero團隊的黑客tavis ormandy與divergent security的cris neckar共同發現的。該id為cve-2017-6753的遠端代碼執行(rce)漏洞源于webex浏覽器擴充中的設計缺陷,攻擊者可利用該缺陷控制受影響系統。
這個漏洞利用起來很簡單,攻擊者隻需要在網頁中植入精心構造的惡意代碼,再誘使受害者通過安裝了受影響webex擴充的浏覽器通路該網頁。 ormandy 介紹 ,
本周早些時候 ,chrome security 離職員工、現供職于 divergent security 的 cris neckar 指出 , atgpcext的工作機制發生了些許變化 , 看似有新問題。我發現過濾機制有問題,然後編寫了一個遠端代碼執行漏洞利用程式進行了驗證。 僅就chrome浏覽器而言,w ebex 擴充就有2000多萬活躍使用者,firefox等其他浏覽器同樣有可能受到漏洞影響。 ”
思科承認了該rce漏洞的存在,并專門針對chrome和firefox浏覽器釋出了“思科webex擴充1.0.12”更新修複該漏洞。尤其需要注意的是,該漏洞沒有“規避方案”。 思科安全通告中表示。
“ 思科已針對google chrome 和 mozilla firefox 釋出了軟體更新修複漏洞。該漏洞沒有規避方案 ,”
根據通告所說,apple的safari、微軟的internet explorer和edge浏覽器不受該rce漏洞影響。思科webex生産力工具、用于mac/linux平台的思科webex浏覽器擴充以及用于微軟edge或internet explorer的思科webex均不受該漏洞影響。
原文釋出時間:2017年7月19日
本文由:securityaffairs釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/cisco-webex-rce-cve-2017-6753#
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站