آسیب‌پذیری حیاتی در WebEx و اجرای کد از راه دور توسط مهاجمان

آسیب‌پذیری حیاتی در WebEx و اجرای کد از راه دور توسط مهاجمان

آسیب‌پذیری حیاتی در WebEx و اجرای کد از راه دور توسط مهاجمان

شرکت سیسکو آسیب‌پذیری حیاتی را در افزونه‌ی WebEx در مرورگرهای کروم و فایرفاکس وصله کرده است. این آسیب‌پذیری یک اشکال اجرای کد از راه دور بود که توسط محققانی از شرکت گوگل کشف شد. محقق شناخته‌شده‌ی گوگل به نام تاویوس اورماندی اوایل این ماه کشف کرد که در افزونه‌ی WebEx آسیب‌پذیری وجود دارد که به مهاجم راه دور اجازه‌ی اجرای کد دلخواه را می‌دهد. این اشکال به دلیل تغییراتی که سیسکو در این افزونه ایجاد کرده، وجود دارد.

مشخصات آسیب پذیری WebEx

این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۶۷۵۳ در تاریخ ۶ جولای به سیسکو گزارش شده و یک هفته بعد از آن با انتشار نسخه‌ی ۱.۰.۱۲ از این افزونه، وصله شده است. روز دوشنبه شرکت سیسکو و همچنین محققان گوگل، در مشاوره‌نامه‌ای جزئیات این آسیب‌پذیری را تشریح کردند. به گفته‌ی سیسکو، این آسیب‌پذیری یک اشکال زمان طراحی است و مهاجم با تحریک کردن قربانی به بازدید از یک وب‌گاه جعلی و مخرب، می‌تواند از این آسیب‌پذیری بهره‌برداری کند. افزونه‌های مرتبط با WebEx که بر روی سامانه عامل ویندوز اجرا می‌شوند نیز تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند.

برای نسخه‌ی WebEx بر روی مرورگر اینترنت اکسپلورر نیز به‌روزرسانی‌های منتشر شده است. در این نسخه‌ها، مؤلفه‌هایی با مرورگرهای کروم و فایرفاکس و نسخه‌ی رومیزی به اشتراک گذاشته شده است. سیسکو به مشتریان خود اطلاع داده که تاکنون راه‌حلی برای کاهش خطرات این آسیب‌پذیری وجود ندارد. از طرفی سیسکو اعلام کرده شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری در دنیای واقعی مشاهده نکرده است. با این‌حال، گوگل در مشاوره‌نامه‌ی خود جزئیات این آسیب‌پذیری را تشریح کرده و از آن بهره‌برداری کرده است. در این مشاوره‌نامه همچنین اعلام شده شرکت سیسکو چگونه این آسیب‌پذیری را برطرف کرده است.

این اولین بار نیست که محقق امنیتی گوگل، اورماندی، آسیب‌پذیری را در افزونه‌های WebEx کشف کرده است. این محقق در ماه ژانویه نیز یک آسیب‌پذیری اجرای کد از راه دور را کشف کرده بود. کشف این آسیب‌پذیری باعث شده بود تا گوگل و موزیلا به‌طور موقت، این افزونه را در مرورگرهای خود حذف کنند. وصله‌ی اولیه که سیسکو برای این آسیب‌پذیری منتشر کرده، ناقص بوده و این شرکت اعلام کرده چند روز وقت می‌خواهد تا وصله‌ی کامل و درست را منتشر کند.

آسیب‌پذیری حیاتی در WebEx و اجرای کد از راه دور توسط مهاجمان

منبع :

www.news.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *