Cisco 修復 WebEx Player 多處高危 Bug

上週 Cisco 釋出了告警，稱其流行的 WebEx player 中存在多處漏洞。公告中共列出了 6 個 bug，這些漏洞與 ARF 格式和 WRF 格式的錄製檔案有關。

按照 Cisco 的說法：“遠端攻擊者可以通過 email 或 URL 連結向使用者提供惡意的 ARF 或 WRF 檔案，通過誘使使用者開啟這些檔案就能實現漏洞的利用。”

Cisco 警告說，利用這些漏洞可能允許攻擊者在目標系統上執行任意程式碼，在不嚴重情況下至少也會導致程式的崩潰。

存在漏洞的產品如下：

• T30.20 版本之前的 Cisco WebEx Business Suite (WBS30) 客戶端
• T31.14.1 版本之前的 Cisco WebEx Business Suite (WBS31) 客戶端
• T32.2 版本之前的 Cisco WebEx Business Suite (WBS32) 客戶端
• T31.14 版本之前的 Cisco WebEx Meetings 客戶端
• 2.7MR3 版本之前的 Cisco WebEx Meeting 服務端

針對這些錯誤 Cisco 已經發布了軟體更新，此外，Cisco 產品安全事件響應小組表示目前尚未發現有關這些漏洞的在野利用。

漏洞主要影響 WebEx ARF Player 和 WebEx WRF Player，兩者都是用於播放先前儲存的會議錄製檔案的，當開啟錄製檔案時會自動安裝對應程式。所有這些相關的程式 Cisco 都已經做了更新。

相關的 CVE 編號是 CVE-2017-12367、CVE-2017-12368、CVE-2017-12369、CVE-2017-12370、CVE-2017-12371 和 CVE-2017-12372，並且 CVSS 評分都達到了 9.6 分。其中，有 4 個 CVE 是高危 RCE 漏洞。另外，CVE-2017-12367 是 DoS 漏洞，而 CVE-2017-12369 是 OOB 漏洞。

今年 7 月，Cisco 還更新了 Chrome 和 Firefox 瀏覽器中的 WebEx 擴充套件，相關漏洞是由 Google Project Zero 研究員 Tavis Ormandy 和 Divergent Security 研究員 Cris Neckar 披露的，能夠實現在安裝了擴充套件的計算機上遠端執行程式碼。

原文連結：https://threatpost.com/cisco-patches-critical-playback-bugs-in-webex-players/129057/

本文由看雪翻譯小組 BDomne 編譯

---

谷歌將阻止第三方軟體在Chrome瀏覽器中注入程式碼

谷歌計劃於接下來的14個月分三個階段阻止第三方軟體在Chrome瀏覽器中注入程式碼。

此舉影響最大的是防毒軟體和其他安全產品。為了攔截惡意軟體、釣魚網站和其他危險，防毒軟體通常會將程式碼注入進瀏覽器本地程式。

第一階段：
2018年4月，Chrome66 將可以再網頁崩潰後對使用者發出警告，告知使用者其他軟體正在Chrome中注入程式碼，並指導使用者更新或移除該軟體。

第二階段：

2018年7月，Chrome68阻止第三方軟體進入Chrome程式。如果從一開始就開始阻止Chrome，Chrome會重啟並允許注入，與此同時，提示使用者如何移除該軟體。

第三階段：
2019年七月，Chrome72會永久阻止程式碼注入。

Google Chrome Canary仍然處於64版本，二穩定的Chrome瀏覽器是在62版本。

唯一不受Google此項新政策影響的是微軟簽名的程式碼、輔助軟體和IME打字輔助軟體。

Windows瀏覽器上三分之二的Chrome將受到影響

來自Chrome團隊的安全研究員稱三分之二的Windows Chrome使用者都裝有會向Chrome注入漏洞的應用。這些人遭遇崩潰的機率會增長15%。

Chrome建議軟體供應商更新他們的編碼方式，合理利用Chrome的新特性，如瀏覽器擴充套件或本地訊息API，放棄傳統的程式碼注入方式。

理論上來說，Chrome一整年都在向軟體供應商提示升級他們的程式碼。

來源:https://www.bleepingcomputer.com/news/google/google-will-block-third-party-software-from-injecting-code-into-chrome/
本文由看雪翻譯小組哆啦咪編譯

---