登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于Cisco WebEx浏览器插件存在远程代码执行高危漏洞的安全公告

2017-01-24 16:50:00
安全公告编号:CNTA-2017-0006

近日,国家信息安全漏洞共享平台(CNVD)收录了Cisco WebEx浏览器插件远程代码执行漏洞(CNVD-2017-00743)。综合利用上述漏洞,攻击者可在使用该插件的浏览器中执行任意代码,有可能诱发以控制为目的大规模攻击。

一、漏洞情况分析

Cisco WebEx是浏览器扩展插件,也是思科网络会议软件的一部分,该插件被披露存在远程代码执行漏洞。WebEx插件适用于包含magic模式“cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”的任何URL,可以从扩展清单中提取。该扩展使用nativeMessaging,攻击者通过构建magic字符串可在使用WebEx插件的浏览器中执行任意代码。由于magic模式内嵌在iframe中,因此无需用户过多交互,只需要访问网站就可以触发漏洞。

CNVD对上述漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现攻击尝试爆发的可能。

二、漏洞影响范围

上述漏洞影响使用Cisco WebEx插件的浏览器用户。

三、漏洞修复建议

目前,厂商尚未发布漏洞修复补丁,CNVD建议用户关注厂商更新,及时将程序升级到最新版本,避免引发漏洞相关的网络安全事件。

 

附:参考链接:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1096

http://www.cnvd.org.cn/flaw/show/CNVD-2017-00743

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论