ΑρχικήsecurityCisco: Διορθώνει σοβαρά ελαττώματα στο Webex Meetings Desktop App

Cisco: Διορθώνει σοβαρά ελαττώματα στο Webex Meetings Desktop App

Η Cisco κυκλοφόρησε σήμερα ενημερώσεις ασφαλείας για να αντιμετωπίσει δύο ευπάθειες υψηλής σοβαρότητας που εντοπίστηκαν στην εφαρμογή Cisco Webex Meetings Desktop για Windows και macOS που θα μπορούσαν να επιτρέψουν σε hackers να εκτελούν προγράμματα και κώδικα σε ευάλωτες συσκευές.

Webex Cisco

Το Cisco Webex Meetings είναι ένα διαδικτυακό λογισμικό συσκέψεων και τηλεδιάσκεψης που διευκολύνει τον προγραμματισμό και τη συμμετοχή σε meetings. Η πλατφόρμα παρέχει επίσης δυνατότητες παρουσίασης, κοινής χρήσης οθόνης και εγγραφής.

Οι δύο ευπάθειες αναφέρονται ως CVE-2020-3263 και CVE-2020-3342 και επηρεάζουν τις προηγούμενες εκδόσεις από την 39.5.12 της Cisco Webex Meetings Desktop App και τις προηγούμενες εκδόσεις από τις 39.5.11 του Cisco Webex Meetings Desktop App για Mac.

Εκτελέστε απομακρυσμένα προγράμματα σε συστήματα Windows

Το αυθαίρετο ελάττωμα ασφαλείας εκτέλεσης προγράμματος που επηρεάζει τον Windows client προκαλείται από την ακατάλληλη επικύρωση εισόδου των διευθύνσεων URL που παρέχονται σε εκδόσεις Cisco Webex Meetings Desktop App.

Το CVE-2020-3263 θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν προγράμματα σε συστήματα που εκτελούν μια μη αντιστοιχισμένη έκδοση της εφαρμογής Cisco Webex Meetings Desktop. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια, εξαπατώντας τον στόχο για να κάνει κλικ σε μια κακόβουλη διεύθυνση URL.

“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να προκαλέσει στην εφαρμογή την εκτέλεση άλλων προγραμμάτων που υπάρχουν ήδη στο σύστημα”, αναφέρει η Cisco.

“Εάν υπάρχουν κακόβουλα αρχεία στο σύστημα, ο εισβολέας θα μπορούσε να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.”

Εκτελέστε τον αυθαίρετο κώδικα από απόσταση σε Mac

Η ευπάθεια εκτέλεσης απομακρυσμένου κώδικα που βρέθηκε στον macOS client οφείλεται σε ακατάλληλη επικύρωση πιστοποιητικών σε αρχεία software update που έχουν ληφθεί από τις επηρεαζόμενες εκδόσεις Cisco Webex Meetings Desktop App για Mac.

Το CVE-2020-3342 θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους εισβολείς να εκτελέσουν εξ αποστάσεως αυθαίρετο κώδικα με τα προνόμια του χρήστη που είναι συνδεδεμένος στον Mac που τρέχει μη ενημερωμένες εκδόσεις της εφαρμογής Cisco Webex Meetings Desktop.

“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια πείθοντας έναν χρήστη να μεταβεί σε έναν ιστότοπο που “εμφανίζει” αρχεία στον πελάτη που είναι παρόμοια με αρχεία που “εμφανίζονται” στο έγκυρο website της Webex”, εξηγεί η Cisco.

“Ο πελάτης ενδέχεται να αποτύχει να επικυρώσει σωστά τις μεθόδους κρυπτογραφικής προστασίας των παρεχόμενων αρχείων προτού τα εκτελέσει ως μέρος μιας ενημέρωσης”.

Λύση

Αν και δεν υπάρχουν γνωστές λύσεις που να αντιμετωπίζουν αυτές τις δύο ευπάθειες, η Cisco κυκλοφόρησε δωρεάν ενημερώσεις λογισμικού για να διορθώσει τα ελαττώματα.

Η ομάδα Product Security Incident Response της Ciscο (PSIRT) δεν έχει εντοπίσει μέχρι στιγμής κακόβουλη χρήση αυτών των τρωτών σημείων.

Η Ciscο διόρθωσε το CVE-2020-3263 στην έκδοση Ciscο Webex Meetings Desktop App 40.1.0 και σε μεταγενέστερες εκδόσεις.

Το CVE-2020-3342 επιδιορθώθηκε στις εκδόσεις 39.5.11 του Cisco Webex Meetings Desktop App για Mac – και σε μεταγενέστερες.

Οι χρήστες των Windows και macOS μπορούν να ενημερώσουν το Ciscο Webex Meetings Desktop App χρησιμοποιώντας τις οδηγίες στο άρθρο του Κέντρου βοήθειας του Ciscο Webex Meetings Desktop App.

Οι διαχειριστές μπορούν να ενημερώσουν τις δύο εφαρμογές για ολόκληρη τη βάση των χρηστών τους, ακολουθώντας τις αναλυτικές οδηγίες που διατίθενται σε αυτόν εδώ τον οδηγό από την Webex.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS