Nul
Cisco heeft gepatcht een set van ernstige kwetsbaarheden die kunnen leiden tot uitvoering van externe code in de Cisco Webex-Netwerk Recording Player voor de Geavanceerde Opname-Indeling (ARF).
De veiligheidsproblemen, CVE-2018-15414, CVE-2018-15421, en CVE-2018-15422, zijn uitgegeven op basis score van 7.8.
Volgens de Cisco Product Security Incident Response Team (PSIRT), de fouten kunnen leiden tot “een niet-geverifieerde, externe kwaadwillende gebruiker, of aanvaller willekeurige code kan uitvoeren op een gerichte systeem.”
De Cisco Webex-Netwerk Recording Player voor de Geavanceerde Opname-Indeling (ARF), beschikbaar voor Windows, Mac, en Linux machines is een component voor het opnemen van vergaderingen plaatsvinden in de Cisco Webex-Vergaderingen Suite sites, Cisco Webex Meetings Online sites, en Cisco Webex Meetings Server.
In een security advisory gepost deze week, Cisco zegt dat de volgende software is getroffen:
Cisco Webex Meetings Suite (WBS32): Webex-Netwerk Recording Player-versies voorafgaand aan WBS32.15.10;Cisco Webex Meetings Suite (WBS33): Webex-Netwerk Recording Player-versies voorafgaand aan WBS33.3;Cisco Webex Meetings Online: Webex-Netwerk Recording Player-versies voorafgaand aan 1.3.37;Cisco Webex Meetings Server: Webex-Netwerk Recording Player-versies voorafgaand aan 3.0MR2.
Volgens Cisco, elk besturingssysteem kwetsbaar is voor ten minste één van de veiligheidsproblemen.
Zie ook: Populaire Vpn ‘ s opgenomen code beveiligingsfouten, ondanks patches
De kwetsbaarheden die het gevolg zijn van de onjuiste ongeldigverklaring van Webex-opname bestanden. Als een slachtoffer opent een bewerkte, kwaadaardig bestand in de Cisco Webex-Speler — mogelijk zijn verzonden via e-mail als onderdeel van een spear phishing-campagne van de bugs worden geactiveerd, wat leidt tot misbruiken.
TechRepublic: Cisco switch fout leidde tot aanvallen op kritieke infrastructuur in verschillende landen
Er zijn geen oplossingen om deze kwetsbaarheden. Echter, Cisco heeft ontwikkeld patches voor het automatisch bijwerken van kwetsbare software.
Het wordt aanbevolen dat gebruikers akkoord met deze updates zo snel mogelijk. De tech reus merkt op dat sommige van Cisco Webex Meetings bouwt voort zou kunnen worden aan het einde van hun ondersteuning van de cycli en niet het ontvangen van deze updates. In deze gevallen, gebruikers moeten contact opnemen met het bedrijf direct.
CNET: Kansas City wordt steeds slimmer dankzij Cisco en Sprint
U kunt ook de ARF component is een add-on en kan eenvoudig handmatig worden verwijderd. Een removal tool is beschikbaar gesteld.
Cisco is niet op de hoogte van alle rapporten van alle actieve exploits in het wild.
Steven Seeley van de Bron Aanzetten en Ziad Badawi, samen met de Trend Micro-Zero Day Initiative, bijgeschreven bij het vinden en melden van de fouten.
In gerelateerd nieuws deze week, Trend Micro ‘ s Zero Day Initiative bekendgemaakt een Microsoft Jet-zero-day kwetsbaarheid die was niet gecorrigeerde op het punt van de openbaarmaking. Als ze benut het beveiligingslek maakt het mogelijk voor aanvallers om op afstand code uitvoeren op geïnfecteerde machines.
Vorige en aanverwante dekking
Cisco kritieke fout: Ten minste 8,5 miljoen schakelaars open te vallen, dus patch nu Google Zero Day team onthult ongepatchte Microsoft Jet RCE kwetsbaarheid Adobe patch uit van plannen om squash kritieke code bug
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0