کمیته رکن چهارم – شرکت سیسکو آسیبپذیری حیاتی را در افزونهی WebEx در مرورگرهای کروم و فایرفاکس وصله کرده است. این آسیبپذیری یک اشکال اجرای کد از راه دور بود که توسط محققانی از شرکت گوگل کشف شده است. محقق شناختهشدهی گوگل به نام تاویوس اورماندی اوایل این ماه کشف کرد که در افزونهی WebEx آسیبپذیری وجود دارد که به مهاجم راه دور اجازهی اجرای کد دلخواه را میدهد. این اشکال به دلیل تغییراتی که سیسکو در این افزونه ایجاد کرده، وجود دارد.
این آسیبپذیری با شناسهی CVE-۲۰۱۷-۶۷۵۳ در تاریخ ۶ جولای به سیسکو گزارش شده و یک هفته بعد از آن با انتشار نسخهی ۱.۰.۱۲ از این افزونه، وصله شده است. روز دوشنبه شرکت سیسکو و همچنین محققان گوگل، در مشاورهنامهای جزئیات این آسیبپذیری را تشریح کردند. به گفتهی سیسکو، این آسیبپذیری یک اشکال زمان طراحی است و مهاجم با تحریک کردن قربانی به بازدید از یک وبگاه جعلی و مخرب، میتواند از این آسیبپذیری بهرهبرداری کند. افزونههای مرتبط با WebEx که بر روی سامانه عامل ویندوز اجرا میشوند نیز تحت تأثیر این آسیبپذیری قرار گرفتهاند.
برای نسخهی WebEx بر روی مرورگر اینترنت اکسپلورر نیز بهروزرسانیهای منتشر شده است. در این نسخهها، مؤلفههایی با مرورگرهای کروم و فایرفاکس و نسخهی رومیزی به اشتراک گذاشته شده است. سیسکو به مشتریان خود اطلاع داده که در حال حاضر راهحلی برای کاهش خطرات این آسیبپذیری وجود ندارد. سیسکو اعلام کرده شواهدی مبنی بر بهرهبرداری از این آسیبپذیری در دنیای واقعی مشاهده نکرده است. با اینحال، گوگل در مشاورهنامهی خود جزئیات این آسیبپذیری را تشریح کرده و از آن بهرهبرداری کرده است. در این مشاورهنامه همچنین اعلام شده شرکت سیسکو چگونه این آسیبپذیری را برطرف کرده است.
این اولین باری نیست که محقق امنیتی گوگل، اورماندی، آسیبپذیری را در افزونههای WebEx کشف کرده است. این محقق در ماه ژانویه نیز یک آسیبپذیری اجرای کد از راه دور را کشف کرده بود. کشف این آسیبپذیری باعث شده بود تا گوگل و موزیلا بهطور موقت، این افزونه را در مرورگرهای خود حذف کنند. وصلهی اولیه که سیسکو برای این آسیبپذیری منتشر کرده، ناقص بوده و این شرکت اعلام کرده چند روز وقت میخواهد تا وصلهی کامل و درست را منتشر کند.
منبع: news.asis.io
