به گزارش خبرنامه پیامپرداز،
سیسکو در روز چهارشنبه در مورد چندین نقطه ضعف در WebEx Player محبوب خود اخطار داد. ۶ نقطه ضعف (bug) در فهرست امنیتی پیشنهادی آورده شده بودند که هر کدام از آنها مربوط به حفرهای در ضبط شبکهای Cisco WebEx Player برای فایلهایی با فرمت پیشرفتهی ضبط (AFR) و فرمت ضبط WebEx بودند.
بنا بر اعلامیهی سیسکو «حملهکننده میتواند با ارائه فایلهای آلوده با فرمتهای AFR یا WFR از طریق ایمیل یا URL کاربر را ترغیب به اجرای این فایلها کند و به این وسیله بتواند به این نقاط ضعف حیاتی نفوذ کند.» سیکو هشدار داده است که استفاده از این نقاط ضعف میتواند منجر به اجرای کد از راه دور بر روی سیستم هدف شود و در موارد سطحیتر این نقاط ضعف میتوانند به crash کردن بازیکن بیانجامد.
محصولاتی که این نقاط ضعف حیاتی را دارند اعماند از:
- Cisco WebEx Business Suite (WBS30) client builds prior to T30.20
- Cisco WebEx Business Suite (WBS31) client builds prior to T31.14.1
- Cisco WebEx Business Suite (WBS32) client builds prior to T32.2
- Cisco WebEx Meetings with client builds prior to T31.14
- Cisco WebEx Meeting Server build prior to 2.7MR3
به جز بهروزرسانی اخیر منتشر شده برای نرمافزار هیچ راهی جهت برطرف کردن این نقاط ضعف وجود ندارد. تیم واکنش سریع امنیتی محصولات سیسکو اعلام کرده است که هیچ راه نفوذی را به این نقاط ضعف حیاتی به صورت عمومی پیدا نکردهاند.
شمارههای نقاط ضعف و حفرههای امنیتی عمومی(CVE) برای این ۶ نقطه ضعف به ترتیب CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371 و CVE-2017-12372 هستند. هر کدام از این CVE ها درجه ۹.۶ از ۱۰ را از منظر اهمیت دارا هستند. یکی از این نقاط ضعف یعنی CVE-2017-12367 مربوط به حمله DoS است.
در ماه جولای سیسکو افزونه WebEx را بر روی مرورگرهای کروم و فایرفاکس به روزرسانی کرد پس از آن که محقق پروژه Zero گوگل تراویس اورماندی و کارشناس امنیت کریس نِکِر به صورت خصوصی با سیسکو نقطه ضعفی را هدف گرفتند که میتوانست به صورت از راه دور کد را بر روی کامپیوتر قربانی که از این افزونه بر روی مرورگر خود استفاده میکند، اجرا کند.
منبع: Threatpost