Cisco是怎么修復Webex Meetings for Windows和macOS中的嚴重漏洞

這期內容當中小編將會給大家帶來有關Cisco是怎么修復Webex Meetings for Windows和macOS中的嚴重漏洞，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

Cisco 發布了安全更新，修復Cisco Webex Meetings Desktop App for Windows和macOS中的兩個高危漏洞，沒有權限的攻擊者可利用這兩個漏洞在脆弱的計算機上運行程序和代碼。

Cisco Webex Meetings是一款在線會議和視頻會議軟件，使用該軟件，用戶可輕松安排和加入會議。該平臺還提供演示，屏幕共享和記錄功能。

這兩個漏洞編號為CVE-2020-3263和CVE-2020-3342，分別影響Cisco Webex Meetings Desktop App 39.5.12之前版本和Cisco Webex Meetings Desktop App for Mac 39.5.11之前版本的鎖定版本。

在Windows系統上遠程執行程序

影響Windows客戶端的該任意程序執行安全漏洞源于錯誤地驗證向受影響的Cisco Webex Meetings Desktop App版本提交的URL。

未經身份認證的遠程攻擊者可利用CVE-2020-3263在運行未修復的Cisco Webex Meetings Desktop App版本的系統上執行程序。攻擊者可以通過誘騙目標用戶點擊惡意URL利用該漏洞。

Cisco在安全公告中寫道，“成功利用該漏洞，攻擊者可造成該應用程序執行其他已存在于終端用戶系統上的程序。”

“如果攻擊者在該系統上或在可訪問的網絡文件路徑上植入惡意文件，攻擊者就可以在受影響的系統上執行任意代碼。”

在Macs上遠程執行任意代碼

macOS客戶端上發現的該遠程代碼執行漏洞源于對受影響的Cisco Webex Meetings Desktop App for Mac版本下載的軟件更新文件的證書驗證錯誤。

如果Macs計算機運行了未修復的Cisco Webex Meetings Desktop App for Mac版本，未經身份認證的攻擊者可利用CVE-2020-3342以登錄到該計算機的用戶的權限遠程執行任意代碼。

Cisco解釋道，“攻擊者可通過誘使用戶訪問某個將惡意文件返回至該客戶端的網站利用該漏洞，該惡意文件看起來像是從合法的Webex網站返回的文件。”

“在作為更新的一部分執行所提供文件之前，客戶端可能無法正確地驗證所提供文件的加密保護。”

變通方法和緩解措施

雖然沒有已知的變通方法可以修復這兩個漏洞，Cisco已經發布免費的軟件更新以修復漏洞。

在安全公告發布之時，Cisco的產品安全應急響應團隊尚未獲悉任何公開報告或對這兩個漏洞的惡意利用。

Cisco在CiscoWebex Meetings Desktop App 40.1.0及之后版本（對于鎖定版本，在39.5.12及之后版本）中修復了CVE-2020-3263，在Cisco Webex Meetings Desktop App for Mac 39.5.11及之后版本（鎖定版本）修復了CVE-2020-3342。

這并不是Cisco的Webex在線視頻協同軟件首次發現和修復漏洞。

去年，Cisco還修復了一個存在于Cisco Webex Meetings Desktop App for Windows的Update Service中的提權漏洞。未經身份認證的本地攻擊者可利用該漏洞提升權限并以SYSTEM用戶權限運行任意命令。

上述就是小編為大家分享的Cisco是怎么修復Webex Meetings for Windows和macOS中的嚴重漏洞了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。