思科 WebEx 扩展再曝严重的远程代码执行漏洞 , 今年再曝严重的远程代码执行漏洞(CVE-2017-6753),这是本年度第二次发现该扩展存在漏洞。攻击者可利用该漏洞在目标机器上以受影响浏览器权限远程执行恶意代码。
思科WebEx扩展远程代码执行漏洞CVE-2017-6753
思科发布的安全通告中 这样描述该漏洞 :
“ 思科用于 Google Chrome 和 Mozilla Firefox 浏览的 WebEx 扩展存在漏洞 , 允许远程未认证攻击者以受影响浏览器权限在受影响系统中执行任意代码。
思科WebEx会议服务器、思科WebEx中心(会议中心、事件中心、培训中心及支持中心)和思科WebEX会议系统若运行在微软Windows环境下,会受此漏洞影响。
WebEx扩展远程代码执行漏洞CVE-2017-6753影响2000多万人
思科WebEx是最受企业和互联网用户欢迎的通信工具之一,用于在线会议、网络研讨会和视频会议。该扩展有约2000万活跃用户。考虑到2000多万人在使用WebEx,漏洞造成的影响会相当严重。
漏洞是Google Project Zero团队的黑客Tavis Ormandy与Divergent Security的Cris Neckar共同发现的。该ID为CVE-2017-6753的远程代码执行(RCE)漏洞源于WebEx浏览器扩展中的设计缺陷,攻击者可利用该缺陷控制受影响系统。
这个漏洞利用起来很简单,攻击者只需要在网页中植入精心构造的恶意代码,再诱使受害者通过安装了受影响WebEx扩展的浏览器访问该网页。 Ormandy 介绍 ,
本周早些时候 ,Chrome Security 离职员工、现供职于 Divergent Security 的 Cris Neckar 指出 , atgpcext的工作机制发生了些许变化 , 看似有新问题。我发现过滤机制有问题,然后编写了一个远程代码执行漏洞利用程序进行了验证。
仅就Chrome浏览器而言,W ebEx 扩展就有2000多万活跃用户,Firefox等其他浏览器同样有可能受到漏洞影响。 ”
思科确认该漏洞 但Safari、IE、Edge浏览器不受影响
思科承认了该RCE漏洞的存在,并专门针对Chrome和Firefox浏览器发布了“思科WebEx扩展1.0.12”更新修复该漏洞。尤其需要注意的是,该漏洞没有“规避方案”。 思科安全通告中表示。
“ 思科已针对Google Chrome 和 Mozilla Firefox 发布了软件更新修复漏洞。该漏洞没有规避方案 ,”
根据通告所说,Apple的Safari、微软的Internet Explorer和Edge浏览器不受该RCE漏洞影响。思科WebEx生产力工具、用于Mac/Linux平台的思科WebEx浏览器扩展以及用于微软Edge或Internet Explorer的思科WebEx均不受该漏洞影响。
原文发布时间:2017年7月19日
本文由:securityaffairs发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/cisco-webex-rce-cve-2017-6753#