按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

Cisco WebEx 被發現記憶體傾印資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-06-19
  • 點閱次數:1256
Cisco WebEx 被發現記憶體傾印資安漏洞 TWCERT/CC

Singtel 旗下的資安廠商 Trustwave,旗下的研究人員於近日發布研究報告,指出廣為全球各大企業使用的視訊會議服務 Cisco WebEx,其 Windows 應用程式存有一個記憶體傾印資安漏洞。

這個資安漏洞發生在 Cisco WebEx 視訊會議的 Windows 客戶端應用程式 40.4.12.8 版本,當用戶安裝好這個應用程式並於背景執行時,只要用戶開始啟動視訊會議,這個常駐程式,就會在磁碟上開啟多個檔案,檔案內容包括當時記憶體內容的傾印(dump)。

然而 Cisco WebEx 並未給與這些檔案足夠的保護措施,使得已登入系統的駭侵者,可以自由存取這些檔案中包含的用戶機敏資訊,例如用戶用以登入 WebEx 視訊會議時使用的 Email 地址,以及會議本身的 URL 等。

更嚴重的是,這些檔案中還會包含用以登入會議內的 WebAccessToken 權杖資訊,任何人只要取得這個 token,就能取得用戶的 WebEx 帳號存取權。

Trustwave 的研究人員在報告中,完整揭露了利用這種手法,於另一台電腦取得 WebEx 帳號存取權的流程。

這個漏洞的 CVSS 危險程度評分為 5.5 分,其危險評級為「中等」。

Cisco 在接獲漏洞通報後,已經在更新版本中修復了這個漏洞;用戶只要更新至 40.6.0 與之後的版本即可。

  • CVE編號:CVE-2020-3347
  • 影響產品與版本:Cisco WebEx Windows client 40.4.12.8
  • 解決方案:更新至 Cisco WebEx Windows client 40.6.0 與之後版本
回頁首