Webex修复两个严重漏洞,两者可使黑客运行任意程序以及代码
思科旗下的视像会议程序Webex一直以来都是不少人用来与国外客户或分部来进行网络会议的工具。而因为这次新冠疫情,相信也有不少人选择Webex来代替原本需要面对面进行的会议或谈判。
而最近思科就修复了两个Webex的严重漏洞,它们都可以让没有特殊权限的黑客可以在受害者的计算机上运行任意的代码以及程序。
这两个代号分别为CVE-2020-3263以及CVE-2020-3342的漏洞影响39.5.12或之前版本的桌面版Webex程序。前者为任意程序的漏洞,后者则是任意代码的。
思科在一份有关CVE-2020-3263的一份报告中提供了该漏洞的详细信息,并解释了攻击者可以成功入侵用户系统后可以对其进行甚么操作。
“这个漏洞是由于提供给应用程序URL的输入验证不正确而造成的。黑客可以通过诱使用户点击恶意URL来利用此漏洞。成功的话,攻击者可以让应用程序执行用户系统上的其他程序。如果恶意文件被植入系统或可访问的网络文件路径中,那么攻击者可以在中招的系统上执行任意代码。”
至于CVE-2020-3342则是由软件下载的更新文件的证书验证不正确所引起的。它可以让没有权限的攻击者获得与登入用户同样的权限,并且可以远程在macOS上执行任意代码。
思科表示:
“攻击者可以诱使用户访问一个网站,这个网站会将类似于从有效Webex网站返回,实际上是恶意的文件返回给客户端的。用户在这次更新之前并不能够正确地验证文件的密码保护是否是真的。”
在最新的40.1.0的Windows版本以及39.5.11的Mac版本当中,这两个漏洞已经被补上。Webex用户可以点这里来看看是如何更新的。
赞 (0)