思科修复 Webex 播放器中的代码执行漏洞

2018-09-22 03:10:00 / 打印

聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

本周,思科解决了高级录音格式 (ARF) 的Webex 网络录音播放器中的多个漏洞问题,它可导致远程攻击者在目标系统上执行任意代码。

Webex Meetings Server 是一种托管在消费者私有云上的多媒体会议解决方案,用于管理并维护 Webex Meetings Suite 服务和 Webex Meetings Online。Meetings 服务能够记录会议,录音可在线存储或以 ARF 格式下载。这些会议也可在本地计算机上以 WRF 格式直接记录。

Network Recording 播放器或可在用户访问托管在 Webex Meetings Suite 网站上的录音文件自动安装,或从 Webex 网站手动安装。然而,对 Webex 录音文件的不当验证可导致出现遭未认证的远程攻击者利用的多个漏洞。

为实施利用,攻击者需要将包含恶意文件的链接或邮件附件发送给受害者并诱骗他们在思科 Webex 播放器中打开文件。

能影音的彻底kmplayer官网

思科在安全公告中指出,这些漏洞影响可从以下平台获取的 ARF 录音播放器: Meetings Suite (WBS32)(早于 WBS32.15.10 的播放器版本)、Meetings Suite (WBS33)(早于WBS33.3 的播放器版本)、Webex Meetings Online(早于1.3.37的播放器版本)和 Webex Meetings Server(早于3.0MR2的播放器版本)。

思科披露称,这些漏洞的编号是 CVE-2018-15414、CVE-2018-15421和CVE-2018-15422。Webex Network Recording 播放器的 Windows、OSX 和 Linux 版本至少遭其中一个缺陷的影响。

Network Recording Player 为解决问题而发布的更新包括 Meetings Suite (WBS32)(WBS32.15.10及更高版本的播放器)、Meetings Suite (WBS33)(WBS33.3 及更高版本的播放器)、Meetings Online(1.3.37及更高版本的播放器)以及 Meetings Server(3.0MR2及更高版本的播放器)

思科表示目前尚不存在缓解措施。不过用户可按照如下的卸载程序对照自己的操作系统删除受影响的 Network Recording 播放器和 Webex 播放器。思科解释称,“当用户访问托管在包含此前具体说明的版本的思科 Webex Meetings 站点上的录音文件时,思科 Webex Network Recording 播放器(针对 .arf 文件)将自动更新至最新且不易受攻击的版本。”

推荐阅读

原文链接