Cisco corrige des failles de sécurité majeures dans Webex sur Windows et Mac

0
70

Cisco a corrigé deux vulnérabilités de gravité élevée dans son logiciel de visioconférence Webex qui auraient pu permettre à des attaquants non privilégiés d'exécuter des programmes et du code sur des systèmes vulnérables.

Les deux vulnérabilités, suivies comme CVE-2020-3263 et CVE-2020-3342, affectent les versions de l'application de bureau Cisco Webex Meetings antérieures à la version 39.5.12. et tous les utilisateurs de Webex doivent mettre à jour leur logiciel vers la dernière version pour éviter d'être victime d'exploits potentiels.

Dans un consultatif concernant la faille d'exécution de programme arbitraire affectant le client Windows de Webex, Cisco a fourni plus de détails sur la vulnérabilité et a expliqué ce qu'un attaquant pourrait faire au système d'un utilisateur après un exploit réussi, en disant:

«La vulnérabilité est due à une validation incorrecte des entrées fournies aux URL des applications. L'attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de suivre une URL malveillante. Un exploit réussi pourrait permettre à l'attaquant d'amener l'application à exécuter d'autres programmes déjà présents sur le système de l'utilisateur final. Si des fichiers malveillants sont placés sur le système ou sur un chemin d'accès aux fichiers réseau accessible, l'attaquant pourrait exécuter du code arbitraire sur le système affecté. »

Vulnérabilités Webex

Cisco a également corrigé une vulnérabilité d'exécution de code à distance dans le client Mac de Webex, causée par une validation de certificat incorrecte sur les fichiers de mise à jour logicielle téléchargés par le logiciel.

Cette vulnérabilité pourrait permettre à un attaquant non authentifié d'exécuter à distance du code arbitraire avec les mêmes privilèges que l'utilisateur connecté sur macOS. Dans un avis séparé, Cisco a expliqué comment un attaquant pourrait exploiter la vulnérabilité, en disant:

«Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de se rendre sur un site Web qui renvoie au client des fichiers similaires aux fichiers renvoyés par un site Web Webex valide. Le client peut ne pas valider correctement les protections cryptographiques des fichiers fournis avant de les exécuter dans le cadre d'une mise à jour. »

Depuis, Cisco a corrigé ces deux vulnérabilités avec la sortie de la version 40.1.0 de Webex pour Windows et de la version 39.5.11 de Webex pour Mac. Les utilisateurs Windows et Mac peuvent mettre à jour leurs clients Cisco Webex en suivant ces instructions tandis que les administrateurs peuvent mettre à jour les deux versions du client en suivant ce guide.

Via BleepingComputer

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire