به گزارش خبرنامه پیام‌پرداز،

سیسکو در روز چهارشنبه در مورد چندین نقطه ضعف در  WebEx Player محبوب خود اخطار داد. ۶ نقطه ضعف (bug) در فهرست امنیتی پیشنهادی آورده شده بودند که هر کدام از آن‌ها مربوط به حفره‌ای در ضبط شبکه‌ای Cisco WebEx Player برای فایل‌هایی با فرمت پیشرفته‌ی ضبط (AFR) و فرمت ضبط WebEx بودند.

بنا بر اعلامیه‌ی سیسکو «حمله‌کننده می‌تواند با ارائه فایل‌های آلوده با فرمت‌های AFR یا WFR از طریق ایمیل یا URL کاربر را ترغیب به اجرای این فایل‌ها کند و به این وسیله بتواند به این نقاط ضعف حیاتی نفوذ کند.» سیکو هشدار داده است که استفاده از این نقاط ضعف می‌تواند منجر به اجرای کد از راه دور بر روی سیستم هدف شود و در موارد سطحی‌تر این نقاط ضعف می‌توانند به crash کردن بازیکن بیانجامد.

محصولاتی که این نقاط ضعف حیاتی را دارند اعم‌اند از:

  • Cisco WebEx Business Suite (WBS30) client builds prior to T30.20
  • Cisco WebEx Business Suite (WBS31) client builds prior to T31.14.1
  • Cisco WebEx Business Suite (WBS32) client builds prior to T32.2
  • Cisco WebEx Meetings with client builds prior to T31.14
  • Cisco WebEx Meeting Server build prior to 2.7MR3

به جز به‌روزرسانی اخیر منتشر شده برای نرم‌افزار هیچ راهی جهت برطرف کردن این نقاط ضعف وجود ندارد. تیم واکنش  سریع امنیتی محصولات سیسکو اعلام کرده است که هیچ  راه نفوذی را به این نقاط ضعف حیاتی به صورت عمومی پیدا نکرده‌اند.

شماره‌های نقاط ضعف و حفره‌‌های امنیتی عمومی(CVE) برای این ۶ نقطه ضعف به ترتیب  CVE-2017-12367CVE-2017-12368CVE-2017-12369CVE-2017-12370CVE-2017-12371  و  CVE-2017-12372 هستند. هر کدام از این CVE ها درجه ۹.۶ از ۱۰ را از منظر اهمیت دارا هستند. یکی از این نقاط ضعف یعنی CVE-2017-12367 مربوط به حمله DoS است.

در ماه جولای سیسکو افزونه‌ WebEx را بر روی مرورگرهای کروم و فایرفاکس به روزرسانی کرد پس از آن که محقق پروژه Zero  گوگل تراویس اورماندی و کارشناس امنیت کریس نِکِر به صورت خصوصی با سیسکو نقطه ضعفی را هدف گرفتند که می‌توانست به صورت از راه دور کد را بر روی کامپیوتر قربانی که از این افزونه بر روی مرورگر خود استفاده می‌کند، اجرا کند.

منبع: Threatpost