0
Cisco
Cisco heeft een hotfix uitgebracht voor een kritische tot uitvoering van externe code bug in de WebEx-video conferencing verlenging voor twee browsers op Windows.
De bug, die van invloed is op de WebEx-extensies voor Chrome en Firefox, kunnen worden benut door het leiden van een gebruiker naar een pagina gestuurd door de aanvallers.
“Een beveiligingsprobleem in Cisco WebEx-browser-extensies voor Google Chrome en Mozilla Firefox kunnen leiden tot een niet-geverifieerde, externe kwaadwillende gebruiker, of aanvaller willekeurige code kan uitvoeren met de rechten van de getroffen browser op een getroffen systeem,” Cisco zei in een advies op maandag.
Cisco beoordeelde de bug, CVE-2017-6753 nl, als “kritiek” en gaf het een Common Vulnerability Scoring System (CVSS) score van 9.6 van de 10.
“De kwetsbaarheid is te wijten aan een ontwerp van een gebrek in de verlenging. Een aanvaller die kan overtuigen van een gebruiker om een bezoek aan een aanvaller-gecontroleerde web-pagina of volg een kwaadwillende gebruiker geleverde koppeling met een kwetsbare browser kan maken van de kwetsbaarheid. Als het succesvol is, kan de aanvaller willekeurige code kan uitvoeren met de rechten van de getroffen browser,” zei hij.
Cisco bijgewerkte versies van de extensie is op de google Chrome Store en Mozilla-add-ons-winkel op 13 juli en 12 juli, respectievelijk. WebEx extensie versie 1.0.12 voor beide browsers zijn kwetsbaar.
De bug geldt extensies voor Cisco WebEx Meetings Server, Cisco WebEx-Centra (Centrum van de Vergadering, Event Center, Training Center, en Ondersteuning) en Cisco WebEx-Vergaderingen. Het beïnvloedt alleen deze producten op Windows-machines.
Cisco toegevoegd dat het geen invloed heeft op WebEx op Microsoft Rand of Internet Explorer. Het maakt ook niet van invloed op de WebEx-extensies voor Safari op de Mac en browsers op Linux.
Google ‘ s Project Zero-onderzoeker Tavis Ormandy gemeld dat het een bug te Cisco eerder deze maand. Het werd ontdekt door hem en Chris Neckar van Uiteenlopende Security, een voormalig lid van de Chrome security team. Ormandy eerder dit jaar vonden twee andere gebreken in de WebEx-extensie die toegelaten tot uitvoering van externe code.
WebEx is een populaire video conferencing tool in de onderneming. Ormandy merkt op dat de WebEx-extensie voor Chrome heeft alleen al 20 miljoen actieve gebruikers. Het is ook geïnstalleerd op 731,000 Firefox exemplaren.
0