思科旗下的視像會議程序Webex一直以來都是不少人用來與國外客户或分部來進行網絡會議的工具。而因為這次新冠疫情,相信也有不少人選擇Webex來代替原本需要面對面進行的會議或談判。
而最近思科就修復了兩個Webex的嚴重漏洞,它們都可以讓沒有特殊權限的黑客可以在受害者的計算機上運行任意的代碼以及程序。
這兩個代號分別為CVE-2020-3263以及CVE-2020-3342的漏洞影響39.5.12或之前版本的桌面版Webex程序。前者為任意程序的漏洞,後者則是任意代碼的。
思科在一份有關CVE-2020-3263的一份報告中提供了該漏洞的詳細信息,並解釋了攻擊者可以成功入侵用户系統後可以對其進行甚麼操作。
“這個漏洞是由於提供給應用程序URL的輸入驗證不正確而造成的。黑客可以通過誘使用户點擊惡意URL來利用此漏洞。成功的話,攻擊者可以讓應用程序執行用户系統上的其他程序。如果惡意文件被植入系統或可訪問的網絡文件路徑中,那麼攻擊者可以在中招的系統上執行任意代碼。”
至於CVE-2020-3342則是由軟件下載的更新文件的證書驗證不正確所引起的。它可以讓沒有權限的攻擊者獲得與登入用户同樣的權限,並且可以遠程在macOS上執行任意代碼。
思科表示:
“攻擊者可以誘使用户訪問一個網站,這個網站會將類似於從有效Webex網站返回,實際上是惡意的文件返回給客户端的。用户在這次更新之前並不能夠正確地驗證文件的密碼保護是否是真的。”
在最新的40.1.0的Windows版本以及39.5.11的Mac版本當中,這兩個漏洞已經被補上。Webex用户可以點這裏來看看是如何更新的。