-
-
【资讯】(12.4)Cisco 修复 WebEx Player 多处高危 Bug;谷歌将阻止第三方软件在Chrome浏览器中注入代码
-
发表于: 2017-12-4 10:08
-
Cisco 修复 WebEx Player 多处高危 Bug
上周 Cisco 发布了告警,称其流行的 WebEx player 中存在多处漏洞。公告中共列出了 6 个 bug,这些漏洞与 ARF 格式和 WRF 格式的录制文件有关。
按照 Cisco 的说法:“远程攻击者可以通过 email 或 URL 链接向用户提供恶意的 ARF 或 WRF 文件,通过诱使用户打开这些文件就能实现漏洞的利用。”
Cisco 警告说,利用这些漏洞可能允许攻击者在目标系统上执行任意代码,在不严重情况下至少也会导致程序的崩溃。
存在漏洞的产品如下:
- T30.20 版本之前的 Cisco WebEx Business Suite (WBS30) 客户端
- T31.14.1 版本之前的 Cisco WebEx Business Suite (WBS31) 客户端
- T32.2 版本之前的 Cisco WebEx Business Suite (WBS32) 客户端
- T31.14 版本之前的 Cisco WebEx Meetings 客户端
- 2.7MR3 版本之前的 Cisco WebEx Meeting 服务端
针对这些错误 Cisco 已经发布了软件更新,此外,Cisco 产品安全事件响应小组表示目前尚未发现有关这些漏洞的在野利用。
漏洞主要影响 WebEx ARF Player 和 WebEx WRF Player,两者都是用于播放先前保存的会议录制文件的,当打开录制文件时会自动安装对应程序。所有这些相关的程序 Cisco 都已经做了更新。
相关的 CVE 编号是 CVE-2017-12367、CVE-2017-12368、CVE-2017-12369、CVE-2017-12370、CVE-2017-12371 和 CVE-2017-12372,并且 CVSS 评分都达到了 9.6 分。其中,有 4 个 CVE 是高危 RCE 漏洞。另外,CVE-2017-12367 是 DoS 漏洞,而 CVE-2017-12369 是 OOB 漏洞。
今年 7 月,Cisco 还更新了 Chrome 和 Firefox 浏览器中的 WebEx 扩展,相关漏洞是由 Google Project Zero 研究员 Tavis Ormandy 和 Divergent Security 研究员 Cris Neckar 披露的,能够实现在安装了扩展的计算机上远程执行代码。
本文由看雪翻译小组 BDomne 编译
谷歌将阻止第三方软件在Chrome浏览器中注入代码
谷歌计划于接下来的14个月分三个阶段阻止第三方软件在Chrome浏览器中注入代码。
此举影响最大的是杀毒软件和其他安全产品。为了拦截恶意软件、钓鱼网站和其他危险,杀毒软件通常会将代码注入进浏览器本地进程。
第一阶段:
2018年4月,Chrome66 将可以再网页崩溃后对用户发出警告,告知用户其他软件正在Chrome中注入代码,并指导用户更新或移除该软件。
第二阶段:
2018年7月,Chrome68阻止第三方软件进入Chrome进程。如果从一开始就开始阻止Chrome,Chrome会重启并允许注入,与此同时,提示用户如何移除该软件。
第三阶段:
2019年七月,Chrome72会永久阻止代码注入。
Google Chrome Canary仍然处于64版本,二稳定的Chrome浏览器是在62版本。
唯一不受Google此项新政策影响的是微软签名的代码、辅助软件和IME打字辅助软件。
Windows浏览器上三分之二的Chrome将受到影响
来自Chrome团队的安全研究员称三分之二的Windows Chrome用户都装有会向Chrome注入漏洞的应用。这些人遭遇崩溃的几率会增长15%。
Chrome建议软件供应商更新他们的编码方式,合理利用Chrome的新特性,如浏览器扩展或本地消息API,放弃传统的代码注入方式。
理论上来说,Chrome一整年都在向软件供应商提示升级他们的代码。
|
|
|---|---|
