Vulnerabilidade Crítica Encontrada em Extensões Cisco WebEx

O Cisco WebEx é uma ferramenta de comunicação popular para eventos online, incluindo reuniões, webinars e videoconferências que ajudam os usuários a se conectarem e colaborarem com colegas de todo o mundo. A extensão possui cerca de 20 milhões de usuários ativos.

Descoberto por Tavis Ormandy do Google Project Zero e Cris Neckar da Divergent Security, a falha de execução de código remoto (CVE-2017-6753) é devido a um defeito de design na extensão do navegador WebEx.

Para explorar a vulnerabilidade, tudo o que um invasor precisa fazer é enganar as vítimas para visitar uma página da Web contendo códigos maliciosos especialmente criados através do navegador com a extensão afetada instalada.

A exploração bem-sucedida desta vulnerabilidade pode levar o atacante a executar código arbitrário com os privilégios do navegador afetado e a obter o controle do sistema afetado.

A Cisco já corrigiu a vulnerabilidade e lançou a atualização do “Cisco WebEx Extension 1.0.12” para navegadores Chrome e Firefox que abordam esse problema, embora “não haja soluções alternativas que solucionem essa vulnerabilidade”.

“Esta vulnerabilidade afeta as extensões do navegador para o Cisco WebEx Meetings Server, Cisco WebEx Centers (Meeting Center, Event Center, Training Center, e Support Center), e Cisco WebEx Meetings quando estão em execução no Microsoft Windows”, a Cisco confirmou em um aviso divulgado hoje.

Em geral, os usuários sempre são recomendados para executar todo o software como um usuário não privilegiado em um esforço para diminuir os efeitos de um ataque bem-sucedido.

O Safari da Apple, o Internet Explorer da Microsoft e o Microsoft’s Edge não são afetados por esta vulnerabilidade.

As ferramentas de produtividade Cisco WebEx, as extensões de navegador Cisco WebEx para Mac ou Linux e o Cisco WebEx no Microsoft Edge ou no Internet Explorer não são afetados pela vulnerabilidade, confirmou a empresa.