Firma Cisco usunęła poważny błąd w popularnym rozwiązaniu do obsługi wideokonferencji. Luka, oznaczona identyfikatorem CVE-2018-0112, umożliwia zdalnemu atakującemu wykonanie nieautoryzowanego kodu w systemie użytkownika. Aby do tego doszło, musi on nakłonić potencjalną ofiarę do otwarcia specjalnie spreparowanego pliku Flash (.swf), wysłanego za pośrednictwem funkcji udostępniania plików klienta WebEx podczas spotkania online. Problem wiąże się z nieprawidłową weryfikacją danych wejściowych i występuje w oprogramowaniu Cisco WebEx Business Suite, Cisco WebEx Meetings oraz Cisco WebEx Meetings Server. Błąd został odkryty przez Alexandrosa Zacharisa, pracownika European Union Agency for Network and Information Security (ENISA). Nie stwierdzono dotąd żadnych przypadków wykorzystania tej luki, atak nie wydaje się jednak skomplikowany, dlatego Cisco zachęca do szybkiej aktualizacji podatnego oprogramowania.
Ryzyko duże: Poziom ważności luki został oceniony jako 9.0 w skali CVSS (Common Vulnerability Scoring System).
Działania krótkoterminowe: Aktualizacja oprogramowania: WebEx Business Suite do wersji T32.10 lub T31.23.2, WebEx Meetings – do wersji T32.10, natomiast Meetings Server – do wersji 2.8 MR2.
Źródło: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs