【資訊】(12.4)Cisco 修復 WebEx Player 多處高危 Bug;谷歌將阻止第三方軟體在Chrome瀏覽器中注入程式碼

CCkicker發表於2017-12-04

Cisco 修復 WebEx Player 多處高危 Bug

0.jpg

 

上週 Cisco 釋出了告警,稱其流行的 WebEx player 中存在多處漏洞。公告中共列出了 6 個 bug,這些漏洞與 ARF 格式和 WRF 格式的錄製檔案有關。

 

按照 Cisco 的說法:“遠端攻擊者可以透過 email 或 URL 連結向使用者提供惡意的 ARF 或 WRF 檔案,透過誘使使用者開啟這些檔案就能實現漏洞的利用。”

 

Cisco 警告說,利用這些漏洞可能允許攻擊者在目標系統上執行任意程式碼,在不嚴重情況下至少也會導致程式的崩潰。

 

存在漏洞的產品如下:

  • T30.20 版本之前的 Cisco WebEx Business Suite (WBS30) 客戶端
  • T31.14.1 版本之前的 Cisco WebEx Business Suite (WBS31) 客戶端
  • T32.2 版本之前的 Cisco WebEx Business Suite (WBS32) 客戶端
  • T31.14 版本之前的 Cisco WebEx Meetings 客戶端
  • 2.7MR3 版本之前的 Cisco WebEx Meeting 服務端

針對這些錯誤 Cisco 已經發布了軟體更新,此外,Cisco 產品安全事件響應小組表示目前尚未發現有關這些漏洞的在野利用。

 

漏洞主要影響 WebEx ARF Player 和 WebEx WRF Player,兩者都是用於播放先前儲存的會議錄製檔案的,當開啟錄製檔案時會自動安裝對應程式。所有這些相關的程式 Cisco 都已經做了更新。

 

相關的 CVE 編號是 CVE-2017-12367、CVE-2017-12368、CVE-2017-12369、CVE-2017-12370、CVE-2017-12371 和 CVE-2017-12372,並且 CVSS 評分都達到了 9.6 分。其中,有 4 個 CVE 是高危 RCE 漏洞。另外,CVE-2017-12367 是 DoS 漏洞,而 CVE-2017-12369 是 OOB 漏洞。

 

今年 7 月,Cisco 還更新了 Chrome 和 Firefox 瀏覽器中的 WebEx 擴充套件,相關漏洞是由 Google Project Zero 研究員 Tavis Ormandy 和 Divergent Security 研究員 Cris Neckar 披露的,能夠實現在安裝了擴充套件的計算機上遠端執行程式碼。

 

原文連結:https://threatpost.com/cisco-patches-critical-playback-bugs-in-webex-players/129057/

 

本文由看雪翻譯小組 BDomne 編譯


谷歌將阻止第三方軟體在Chrome瀏覽器中注入程式碼

谷歌計劃於接下來的14個月分三個階段阻止第三方軟體在Chrome瀏覽器中注入程式碼。

 

此舉影響最大的是防毒軟體和其他安全產品。為了攔截惡意軟體、釣魚網站和其他危險,防毒軟體通常會將程式碼注入進瀏覽器本地程式。

 

第一階段:
2018年4月,Chrome66 將可以再網頁崩潰後對使用者發出警告,告知使用者其他軟體正在Chrome中注入程式碼,並指導使用者更新或移除該軟體。

 

 

第二階段:

 

2018年7月,Chrome68阻止第三方軟體進入Chrome程式。如果從一開始就開始阻止Chrome,Chrome會重啟並允許注入,與此同時,提示使用者如何移除該軟體。

 

第三階段:
2019年七月,Chrome72會永久阻止程式碼注入。

 

Google Chrome Canary仍然處於64版本,二穩定的Chrome瀏覽器是在62版本。

 

唯一不受Google此項新政策影響的是微軟簽名的程式碼、輔助軟體和IME打字輔助軟體。

Windows瀏覽器上三分之二的Chrome將受到影響

來自Chrome團隊的安全研究員稱三分之二的Windows Chrome使用者都裝有會向Chrome注入漏洞的應用。這些人遭遇崩潰的機率會增長15%。

 

Chrome建議軟體供應商更新他們的編碼方式,合理利用Chrome的新特性,如瀏覽器擴充套件或本地訊息API,放棄傳統的程式碼注入方式。

 

理論上來說,Chrome一整年都在向軟體供應商提示升級他們的程式碼。

 

來源:https://www.bleepingcomputer.com/news/google/google-will-block-third-party-software-from-injecting-code-into-chrome/
本文由看雪翻譯小組哆啦咪編譯


相關文章