來源:新浪VR
思科旗下的視頻會議軟體Webex一直都是該領域裡的佼佼者,很多中國用戶也都用它來外商進行跨洋網絡會議,而今年由於疫情所造成的各種影響,該軟體也變得更受歡迎了。
就在最近,思科緊急修補了Webex的兩個嚴重漏洞,其嚴重性據稱可以讓沒有特殊權限的黑客輕易進入受害者的計算機,隨意運行所有代碼和程序。這兩個漏洞代號分別為:CVE-2020-3263以及CVE-2020-3342,它們分別影響39.5.12和更早期的桌面版Webex程序,前者為任意程序的漏洞,後者則是任意代碼的。
在一份關於CVE-2020-3263的報告中,思科方面提到了該漏洞的詳細資料,並公開了黑客如果利用該漏洞進入他人作業系統後,其所能進行的操作範圍。
「這個漏洞是由於提供給應用程式URL的輸入驗證不正確而造成的。黑客可以通過誘使用戶點擊惡意URL來利用此漏洞。成功的話,攻擊者可以讓應用程式執行用戶系統上的其他程序。如果惡意文件被植入系統或可訪問的網絡文件路徑中,那麼攻擊者可以在中招的系統上執行任意代碼。」
而另一個CVE-2020-3342測試由軟體下載的更新文件證書驗證出錯造成的,它能讓沒有權限的黑客拿到與本機用戶同樣的權限,還能通過遠程在macOS上執行任意代碼。
思科表示:
「攻擊者可以誘使用戶訪問一個網站,這個網站會將類似於從有效Webex網站返回,實際上是惡意的文件返回給客戶端的。用戶在這次更新之前並不能夠正確地驗證文件的密碼保護是否是真的。」
在最新的40.1.0的Windows版本以及39.5.11的Mac版本當中,這兩個漏洞已經被補上。