Критическая уязвимость найдена в сервисе видеоконференций Cisco
Компания призывает пользователей Cisco WebEx Meetings для Windows немедленно обновить приложение.
Фото: Pixabay
WebEx Meetings для Windows от Cisco имеет опасный недостаток, который позволяет хакерам получить всю информацию о видеоконференциях, звонках, паролей доступа и другую конфиденциальную информацию.
Недостатку присвоен код CVE-2020-3347. По словам исследователей Trustwave, которые обнаружили уязвимость, несанкционированный доступ возможен из-за небезопасного использовании WebEx Meetings для Windows Cisco общей памяти.
После установки приложения WebEx Meetings добавляет приложение в трей и запускается автоматически после входа пользователя в систему. Если пользователь настроил клиент для автоматического входа в систему или использует этот режим по умолчанию, открывается несколько файлов отображения памяти, некоторые из которых не защищены от открытия для чтения и записи.
Злоумышленник с правами на просмотр системной памяти может использовать эту уязвимость. Хакер может перебирать сессии, открывать, читать и сохранять контент для дальнейшего изучения.
Уязвимость может дать хакеру возможность извлекать конфиденциальные данные, включая имена пользователей, информацию о видеоконференциях, а также токены аутентификации, которые можно использовать в будущих атаках.
Cisco выпустила обновление программного обеспечения, устраняющее эту уязвимость, и призывает пользователей обновить программное обеспечение Cisco Webex Meetings до версии 40.6.0 и выше.
Как сообщал Startpack, ранее компания Cisco пообещала бесплатно встроить облачную корпоративную платформу безопасности SecureX во все существующие продукты.
Комментариев пока не было