溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Cisco是怎么修復(fù)Webex Meetings for Windows和macOS中的嚴(yán)重漏洞

發(fā)布時(shí)間:2021-12-31 13:37:54 來(lái)源:億速云 閱讀:150 作者:柒染 欄目:網(wǎng)絡(luò)管理

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)Cisco是怎么修復(fù)Webex Meetings for Windows和macOS中的嚴(yán)重漏洞,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

Cisco 發(fā)布了安全更新,修復(fù)Cisco Webex Meetings Desktop App for Windows和macOS中的兩個(gè)高危漏洞,沒(méi)有權(quán)限的攻擊者可利用這兩個(gè)漏洞在脆弱的計(jì)算機(jī)上運(yùn)行程序和代碼。

Cisco Webex Meetings是一款在線會(huì)議和視頻會(huì)議軟件,使用該軟件,用戶可輕松安排和加入會(huì)議。該平臺(tái)還提供演示,屏幕共享和記錄功能。

這兩個(gè)漏洞編號(hào)為CVE-2020-3263和CVE-2020-3342,分別影響Cisco Webex Meetings Desktop App 39.5.12之前版本和Cisco Webex Meetings Desktop App for Mac 39.5.11之前版本的鎖定版本。

Windows系統(tǒng)上遠(yuǎn)程執(zhí)行程序

影響Windows客戶端的該任意程序執(zhí)行安全漏洞源于錯(cuò)誤地驗(yàn)證向受影響的Cisco Webex Meetings Desktop App版本提交的URL。

未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可利用CVE-2020-3263在運(yùn)行未修復(fù)的Cisco Webex Meetings Desktop App版本的系統(tǒng)上執(zhí)行程序。攻擊者可以通過(guò)誘騙目標(biāo)用戶點(diǎn)擊惡意URL利用該漏洞。

Cisco在安全公告中寫(xiě)道,“成功利用該漏洞,攻擊者可造成該應(yīng)用程序執(zhí)行其他已存在于終端用戶系統(tǒng)上的程序?!?/p>

“如果攻擊者在該系統(tǒng)上或在可訪問(wèn)的網(wǎng)絡(luò)文件路徑上植入惡意文件,攻擊者就可以在受影響的系統(tǒng)上執(zhí)行任意代碼。”

Macs上遠(yuǎn)程執(zhí)行任意代碼

macOS客戶端上發(fā)現(xiàn)的該遠(yuǎn)程代碼執(zhí)行漏洞源于對(duì)受影響的Cisco Webex Meetings Desktop App for Mac版本下載的軟件更新文件的證書(shū)驗(yàn)證錯(cuò)誤。

如果Macs計(jì)算機(jī)運(yùn)行了未修復(fù)的Cisco Webex Meetings Desktop App for Mac版本,未經(jīng)身份認(rèn)證的攻擊者可利用CVE-2020-3342以登錄到該計(jì)算機(jī)的用戶的權(quán)限遠(yuǎn)程執(zhí)行任意代碼。

Cisco解釋道,“攻擊者可通過(guò)誘使用戶訪問(wèn)某個(gè)將惡意文件返回至該客戶端的網(wǎng)站利用該漏洞,該惡意文件看起來(lái)像是從合法的Webex網(wǎng)站返回的文件?!?/p>

“在作為更新的一部分執(zhí)行所提供文件之前,客戶端可能無(wú)法正確地驗(yàn)證所提供文件的加密保護(hù)?!?/p>

變通方法和緩解措施

雖然沒(méi)有已知的變通方法可以修復(fù)這兩個(gè)漏洞,Cisco已經(jīng)發(fā)布免費(fèi)的軟件更新以修復(fù)漏洞。

在安全公告發(fā)布之時(shí),Cisco的產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(duì)尚未獲悉任何公開(kāi)報(bào)告或?qū)@兩個(gè)漏洞的惡意利用。

Cisco在CiscoWebex Meetings Desktop App 40.1.0及之后版本(對(duì)于鎖定版本,在39.5.12及之后版本)中修復(fù)了CVE-2020-3263,在Cisco Webex Meetings Desktop App for Mac 39.5.11及之后版本(鎖定版本)修復(fù)了CVE-2020-3342。

這并不是Cisco的Webex在線視頻協(xié)同軟件首次發(fā)現(xiàn)和修復(fù)漏洞。

去年,Cisco還修復(fù)了一個(gè)存在于Cisco Webex Meetings Desktop App for Windows的Update Service中的提權(quán)漏洞。未經(jīng)身份認(rèn)證的本地攻擊者可利用該漏洞提升權(quán)限并以SYSTEM用戶權(quán)限運(yùn)行任意命令。

上述就是小編為大家分享的Cisco是怎么修復(fù)Webex Meetings for Windows和macOS中的嚴(yán)重漏洞了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI