思科WebEx扩展中又出现严重的RCE漏洞

思科WebEx的Chrome和火狐浏览器扩展中再次出现一个严重漏洞，攻击者可在受害者电脑上远程执行恶意代码。这已是WebEx在一年内第二次出现的漏洞。

思科WebEx是网络活动包括会议、网络会议和视频会议的在线工具，帮助用户与全球同事连接并合作。该扩展已拥有近2000万活跃用户。

来自谷歌的研究员TavisOrmandy和来自DivergentSecurity公司的CrisNeckar发现了这个远程代码执行漏洞(CVE-2017-6753)，它产生的原因是WebEx浏览器扩展中存在设计缺陷。

要利用这个漏洞，攻击者只需诱骗用户通过安装有受影响扩展的浏览器访问含有特别编制恶意代码的网页。如成功利用该漏洞，攻击者可以受影响浏览器的权限执行任意代码并控制受影响系统。

思科已修复该漏洞并为Chrome和火狐浏览器发布思科WebEx扩展1.0.12更新解决这个问题，但“尚未有缓解措施解决这个漏洞问题”。

建议用户以非权限用户身份运行所有软件以减轻攻击影响。好在苹果的Safari浏览器、微软的IE浏览器和微软的Edge浏览器并未受该漏洞影响。思科指出，思科WebExProductivey Tools、思科WebEx的Mac或Linux浏览器插件和思科WebEx的Edge和IE浏览器版本也并未受影响。

Ormandy指出，思科的WebEx浏览器扩展在今年年初曾受一个RCE漏洞影响，为此，谷歌和Mozilla曾暂时从应用商店中删除了这个插件。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。