Zero
Cisco a patché un ensemble de graves failles qui pourraient conduire à l’exécution de code à distance dans le Réseau Cisco Webex Enregistrement Player for Advanced Format d’Enregistrement (ARF).
Les failles de sécurité, CVE-2018-15414, CVE-2018-15421, et CVE-2018-15422, ont obtenu un score de base de 7.8.
Selon le Produit Cisco Security Incident Response Team (PSIRT), les défaillances qui pourraient conduire à un utilisateur malveillant distant non authentifié d’exécuter du code arbitraire sur un système ciblé.”
Le Réseau Cisco Webex Enregistrement Player for Advanced Format d’Enregistrement (ARF), disponible pour Windows, Mac, et Linux, est un composant pour l’enregistrement de réunions Cisco Webex meetings Suite de sites, Réunions Cisco Webex sites en Ligne, et Cisco Webex meetings Server.
Dans un avis de sécurité publié cette semaine, Cisco affirme que les logiciels suivants sont concernés:
Cisco Webex meetings Suite (WBS32): Webex Réseau d’Enregistrement Joueur versions antérieures à WBS32.15.10;Cisco Webex meetings Suite (WBS33): Webex Réseau d’Enregistrement Joueur versions antérieures à WBS33.3;Cisco Webex meetings en Ligne: Webex Réseau d’Enregistrement Joueur versions antérieures à 1.3.37;Cisco Webex meetings Server: Webex Réseau d’Enregistrement Joueur versions antérieures à la 3.0MR2.
Selon Cisco, chaque système d’exploitation est vulnérable à au moins l’une des failles de sécurité.
Voir aussi: Populaire Vpn contenues exécution de code à des failles de sécurité, malgré les patchs
Les vulnérabilités sont dues à la mauvaise invalidation de Webex des fichiers d’enregistrement. Si une victime ouvre un conçu, fichier malveillant dans le système Cisco Webex Player — potentiellement envoyés par e-mail dans le cadre d’un spear phishing, la campagne de bugs sont déclenchées, conduisant à exploiter.
TechRepublic: commutateur Cisco faille a conduit à des attaques contre des infrastructures critiques dans plusieurs pays
Il n’existe pas de solutions face à ces vulnérabilités. Cependant, Cisco a mis au point des patchs de mise à jour automatique de logiciels vulnérables.
Il est recommandé aux utilisateurs d’accepter ces mises à jour aussi rapidement que possible. Le géant technologique note que certaines Réunions Cisco Webex s’appuie peut-être à la fin de leur soutien et les cycles de ne pas recevoir ces mises à jour. Dans ces cas, les utilisateurs doivent contacter directement l’entreprise.
CNET: Kansas City devient plus intelligent grâce à Cisco et Sprint
Sinon, l’ARF composant est un add-on et peut simplement être désinstallé manuellement. Un outil de suppression est a été mis à disposition.
Cisco n’est pas au courant de tous les rapports d’aucun actif d’exploits dans la nature.
Steven Seeley à partir de la Source d’Inciter et Ziad Badawi, en collaboration avec Trend Micro Zero Day Initiative, ont été crédités avec trouver et signaler les bugs.
Dans des nouvelles connexes, cette semaine, de Trend Micro Zero Day Initiative communiqué de Microsoft Jet vulnérabilité zero-day qui a été non corrigés au moment de la divulgation publique. Si elles étaient exploitées, la vulnérabilité permet à des attaquants d’exécuter à distance du code sur les machines infectées.
Précédente et de la couverture liée
Cisco faille critique: Au moins 8,5 millions d’interrupteurs ouverts à l’attaque, donc patch maintenant Google Zéro Jour, l’équipe communique sans correctifs Microsoft Jet RCE vulnérabilité Adobe versions patch de l’annexe à la courge critique exécution de code bug
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0