思科旗下的視像會議程式Webex一直以來都是不少人用來與國外客戶或分部來進行網路會議的工具。而因為這次新冠疫情,相信也有不少人選擇Webex來代替原本需要面對面進行的會議或談判。
而最近思科就修復了兩個Webex的嚴重漏洞,它們都可以讓沒有特殊許可權的駭客可以在受害者的計算機上執行任意的程式碼以及程式。
這兩個代號分別為CVE-2020-3263以及CVE-2020-3342的漏洞影響39.5.12或之前版本的桌面版Webex程式。前者為任意程式的漏洞,後者則是任意程式碼的。
思科在一份有關CVE-2020-3263的一份報告中提供了該漏洞的詳細資訊,並解釋了攻擊者可以成功入侵使用者系統後可以對其進行甚麼操作。
“這個漏洞是由於提供給應用程式URL的輸入驗證不正確而造成的。駭客可以透過誘使使用者點選惡意URL來利用此漏洞。成功的話,攻擊者可以讓應用程式執行使用者系統上的其他程式。如果惡意檔案被植入系統或可訪問的網路檔案路徑中,那麼攻擊者可以在中招的系統上執行任意程式碼。”
至於CVE-2020-3342則是由軟體下載的更新檔案的證書驗證不正確所引起的。它可以讓沒有許可權的攻擊者獲得與登入使用者同樣的許可權,並且可以遠端在macOS上執行任意程式碼。
思科表示:
“攻擊者可以誘使使用者訪問一個網站,這個網站會將類似於從有效Webex網站返回,實際上是惡意的檔案返回給客戶端的。使用者在這次更新之前並不能夠正確地驗證檔案的密碼保護是否是真的。”
在最新的40.1.0的Windows版本以及39.5.11的Mac版本當中,這兩個漏洞已經被補上。Webex使用者可以點這裡來看看是如何更新的。