Cisco WebEx扩展中再次发现严重的RCE漏洞

Cisco WebEx是一款流行的在线活动沟通工具，包括会议、网络研讨会和视频会议，帮助用户与世界各地的同事建立联系和协作。该扩展大约有2000万活跃用户。

远程代码执行缺陷（CVE-2017-6753）是由谷歌零号项目的塔维斯·奥曼迪（Tavis Ormandy）和Divergent Security的克里斯·内卡（Cris Neckar）发现的，是由于WebEx浏览器扩展的设计缺陷造成的。
要利用该漏洞，攻击者只需诱使受害者通过安装了受影响扩展的浏览器访问包含精心编制的恶意代码的网页。

成功利用此漏洞可能会导致攻击者以受影响浏览器的权限执行任意代码，并获得对受影响系统的控制。

奥曼迪说：“我发现净化工作方式存在一些问题，并利用远程代码执行漏洞来演示这些问题”。“仅这一扩展就有2000多万活跃的Chrome用户，FireFox和其他浏览器也可能受到影响”。

Cisco已经修补了该漏洞，并发布了针对Chrome和Firefox浏览器的“Cisco WebEx Extension 1.0.12”更新，以解决此问题，不过“没有解决此漏洞的解决方法”

“当Cisco WebEx会议服务器、Cisco WebEx中心（会议中心、活动中心、培训中心和支持中心）和Cisco WebEx会议在Microsoft Windows上运行时，该漏洞会影响这些会议的浏览器扩展，”Cisco在今天发布的一份咨询中确认。

下载Cisco WebEx扩展1.0.12

• 谷歌浏览器扩展
• 附加元件

通常，建议用户以非特权用户的身份运行所有软件，以减少成功攻击的影响。
幸运的是，苹果的Safari、微软的Internet Explorer和微软的Edge没有受到该漏洞的影响。

该公司证实，Cisco WebEx生产力工具、针对Mac或Linux的Cisco WebEx浏览器扩展，以及Microsoft Edge或Internet Explorer上的Cisco WebEx不受该漏洞的影响。

Cisco WebEx扩展中的远程代码执行漏洞已在今年第二次被发现。

今年早些时候，奥曼迪也提醒这家网络巨头注意WebEx浏览器扩展中的一个RCE漏洞，这甚至导致谷歌和Mozilla暂时从他们的商店中删除了该插件。