这期内容当中小编将会给大家带来有关Cisco是怎么修复Webex Meetings for Windows和macOS中的严重漏洞,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
Cisco 发布了安全更新,修复Cisco Webex Meetings Desktop App for Windows和macOS中的两个高危漏洞,没有权限的攻击者可利用这两个漏洞在脆弱的计算机上运行程序和代码。
Cisco Webex Meetings是一款在线会议和视频会议软件,使用该软件,用户可轻松安排和加入会议。该平台还提供演示,屏幕共享和记录功能。
这两个漏洞编号为CVE-2020-3263和CVE-2020-3342,分别影响Cisco Webex Meetings Desktop App 39.5.12之前版本和Cisco Webex Meetings Desktop App for Mac 39.5.11之前版本的锁定版本。
在Windows系统上远程执行程序
影响Windows客户端的该任意程序执行安全漏洞源于错误地验证向受影响的Cisco Webex Meetings Desktop App版本提交的URL。
未经身份认证的远程攻击者可利用CVE-2020-3263在运行未修复的Cisco Webex Meetings Desktop App版本的系统上执行程序。攻击者可以通过诱骗目标用户点击恶意URL利用该漏洞。
Cisco在安全公告中写道,“成功利用该漏洞,攻击者可造成该应用程序执行其他已存在于终端用户系统上的程序。”
“如果攻击者在该系统上或在可访问的网络文件路径上植入恶意文件,攻击者就可以在受影响的系统上执行任意代码。”
在Macs上远程执行任意代码
macOS客户端上发现的该远程代码执行漏洞源于对受影响的Cisco Webex Meetings Desktop App for Mac版本下载的软件更新文件的证书验证错误。
如果Macs计算机运行了未修复的Cisco Webex Meetings Desktop App for Mac版本,未经身份认证的攻击者可利用CVE-2020-3342以登录到该计算机的用户的权限远程执行任意代码。
Cisco解释道,“攻击者可通过诱使用户访问某个将恶意文件返回至该客户端的网站利用该漏洞,该恶意文件看起来像是从合法的Webex网站返回的文件。”
“在作为更新的一部分执行所提供文件之前,客户端可能无法正确地验证所提供文件的加密保护。”
变通方法和缓解措施
虽然没有已知的变通方法可以修复这两个漏洞,Cisco已经发布免费的软件更新以修复漏洞。
在安全公告发布之时,Cisco的产品安全应急响应团队尚未获悉任何公开报告或对这两个漏洞的恶意利用。
Cisco在CiscoWebex Meetings Desktop App 40.1.0及之后版本(对于锁定版本,在39.5.12及之后版本)中修复了CVE-2020-3263,在Cisco Webex Meetings Desktop App for Mac 39.5.11及之后版本(锁定版本)修复了CVE-2020-3342。
这并不是Cisco的Webex在线视频协同软件首次发现和修复漏洞。
去年,Cisco还修复了一个存在于Cisco Webex Meetings Desktop App for Windows的Update Service中的提权漏洞。未经身份认证的本地攻击者可利用该漏洞提升权限并以SYSTEM用户权限运行任意命令。
上述就是小编为大家分享的Cisco是怎么修复Webex Meetings for Windows和macOS中的严重漏洞了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注亿速云行业资讯频道。
原创文章,作者:506227337,如若转载,请注明出处:https://blog.ytso.com/219802.html