Breaking News
AMR | Citrix Webinar: The Next New Normal

เตือนช่องโหว่ RCE บน Cisco WebEx Plug-in รีบอัปเดตแพทช์ด่วน

Tavis Ormandy จาก Google Project Zero และ Cris Neckar จาก Divergent Security ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับ Critical บน Plug-in ของ Cisco WebEx สำหรับ Google Chrome และ Firefox ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดแปลกปลอมเข้ามารันบนเครื่องคอมพิวเตอร์ของเหยื่อได้

Credit: Visual Generation/ShutterStock

Cisco WebEx เป็นแพลตฟอร์มสำหรับการติดต่อสื่อสารหรือจัดอีเวนต์ออนไลน์ที่เป็นที่นิยมไปทั่วโลก ไม่ว่าจะเป็น การประชุมผ่านวิดีโอ การจัด Webinar หรือการอบรมผ่านอินเทอร์เน็ต ซึ่งปัจจุบันนี้มีผู้ดาวน์โหลด Plug-in ไปติดตั้งบนเว็บเบราเซอร์แล้วมากกว่า 20 ล้านคน

ช่องโหว่ที่ Ormandy และ Neckar ค้นพบนี้ เป็นช่องโหว่ Remote Code Execution บน Cisco WebEx Plug-in สำหรับเว็บเบราเซอร์รายการที่ 2 ที่ค้นพบในปีนี้ มีรหัส CVE-2017-6753 ช่องโหว่นี้สามารถโจมตีได้โดยหลอกเหยื่อให้เข้าถึงเว็บไซต์ที่มีโค้ดอันตรายที่ถูกออกแบบมาเป็นพิเศษแฝงอยู่ ซึ่งโค้ดนี้จะส่งผลกระทบโดยตรงกับเบราเซอร์ของผู้ใช้ที่ติดตั้ง Cisco WebEx Plugin ส่งผลให้แฮ็คเกอร์สามารถลอบรันโค้ดแปลกปลอมโดยได้สิทธิ์ระดับเดียวกันกับเว็บเบราเซอร์นั้นๆ รวมไปถึงสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้

ช่องโหว่นี้ส่งผลกระทบต่อ Plug-in สำหรับ Cisco WebEx Meetings Server, Cisco WebEx Centers (Meeting Center, Event Center, Training Center และ Support Center) และ Cisco WebEx Meetings ที่รันบนระบบปฏิบัติการ Windows อย่างไรก็ตาม Cisco ได้แพทช์ Plug-in เวอร์ชัน 1.0.12 เพื่ออุดช่องโหว่ดังกล่าวบน Chrome และ Firefox เป็นที่เรียบร้อย แนะนำให้ผู้ใช้ Cisco WebEx ทุกคนอัปเดตแพทช์โดยด่วน

สำหรับผู้ใช้ Cisco WebEx ผ่านทาง Safari, IE และ Edge นั้น ไม่ได้รับผลกระทบต่อช่องโหว่นี้แต่อย่างใด

รายละเอียดเพิ่มเติม: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

ที่มา: http://thehackernews.com/2017/07/cisco-webex-vulnerability.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุป Webinar ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX

ก่อนหน้านี้ทางทีมงาน VMware ได้มาเล่าเรื่องในหัวข้อ"ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX" ในงาน TechTalk Webinar ซึ่งก็ถือเป็นอีกหนึ่งหัวข้อที่ได้รับความสนใจจากผู้อ่านค่อนข้างมาก ทางทีมงาน TechTalkThai จึงขอนำเนื้อหามาสรุปเอาไว้ให้ผู้ที่อาจจะไม่มีเวลาชมคลิปเองได้อ่านกันสั้นๆ ดังนี้ครับ

สรุป Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift

หนึ่งในเรื่องที่คน IT หลายคนต้องเร่งเรียนรู้ในปีนี้ก็คือเรื่องของเทคโนโลยี Enterprise Container และในบทความนี้ทีมงาน TechTalkThai ก็จะขอสรุปเนื้อหาสั้นๆ จากงาน Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift เพื่อให้ทุกท่านได้รู้จักกับ Red Hat OpenShift กันมากขึ้นดังนี้ครับ