Критическая уязвимость найдена в сервисе видеоконференций Cisco

Компания призывает пользователей Cisco WebEx Meetings для Windows немедленно обновить приложение.

Фото: Pixabay

WebEx Meetings для Windows от Cisco имеет опасный недостаток, который позволяет хакерам получить всю информацию о видеоконференциях, звонках, паролей доступа и другую конфиденциальную информацию.

Недостатку присвоен код CVE-2020-3347. По словам исследователей Trustwave, которые обнаружили уязвимость, несанкционированный доступ возможен из-за небезопасного использовании WebEx Meetings для Windows Cisco общей памяти.

После установки приложения WebEx Meetings добавляет приложение в трей и запускается автоматически после входа пользователя в систему. Если пользователь настроил клиент для автоматического входа в систему или использует этот режим по умолчанию, открывается несколько файлов отображения памяти, некоторые из которых не защищены от открытия для чтения и записи.

Злоумышленник с правами на просмотр системной памяти может использовать эту уязвимость. Хакер может перебирать сессии, открывать, читать и сохранять контент для дальнейшего изучения.

Уязвимость может дать хакеру возможность извлекать конфиденциальные данные, включая имена пользователей, информацию о видеоконференциях, а также токены аутентификации, которые можно использовать в будущих атаках.

Cisco выпустила обновление программного обеспечения, устраняющее эту уязвимость, и призывает пользователей обновить программное обеспечение Cisco Webex Meetings до версии 40.6.0 и выше. 

Как сообщал Startpack, ранее компания Cisco пообещала бесплатно встроить облачную корпоративную платформу безопасности SecureX во все существующие продукты.