Webex紧急修复两个超级漏洞, 黑客能通过其运行任意程序和代码
思科旗下的视频会议软件Webex一直都是该领域里的佼佼者,很多中国用户也都用它来外商进行跨洋网络会议,而今年由于疫情所造成的各种影响,该软件也变得更受欢迎了。
就在最近,思科紧急修补了Webex的两个严重漏洞,其严重性据称可以让没有特殊权限的黑客轻易进入受害者的计算机,随意运行所有代码和程序。这两个漏洞代号分别为: CVE-2020-3263以及CVE-2020-3342,它们分别影响39.5.12和更早期的桌面版Webex程序,前者为任意程序的漏洞,后者则是任意代码的。
在一份关于CVE-2020-3263的报告中,思科方面提到了该漏洞的详细资料,并公开了黑客如果利用该漏洞进入他人操作系统后,其所能进行的操作范围。
“这个漏洞是由于提供给应用程序URL的输入验证不正确而造成的。黑客可以通过诱使用户点击恶意URL来利用此漏洞。成功的话,攻击者可以让应用程序执行用户系统上的其他程序。如果恶意文件被植入系统或可访问的网络文件路径中,那么攻击者可以在中招的系统上执行任意代码。”
而另一个CVE-2020-3342测试由软件下载的更新文件证书验证出错造成的,它能让没有权限的黑客拿到与本机用户同样的权限,还能通过远程在macOS上执行任意代码。
思科表示:
“攻击者可以诱使用户访问一个网站,这个网站会将类似于从有效Webex网站返回,实际上是恶意的文件返回给客户端的。用户在这次更新之前并不能够正确地验证文件的密码保护是否是真的。”
在最新的40.1.0的Windows版本以及39.5.11的Mac版本当中,这两个漏洞已经被补上。