События

Cisco перевыпустила патч для опасной уязвимости в WebEx

Компания Cisco повторно выпустила патч, устраняющий уязвимость повышения привилегий (CVE-2018-15442) в Windows-версии сервиса для видеоконференцсвязи Cisco WebEx. Изначально релиз обновления состоялся в октябре текущего года, однако специалисты компании SecureAuth сочли его неполным после того, как в ходе тестирования обнаружили новый способ эксплуатации уязвимости.

CVE-2018-15442 вызвана некорректной проверкой службой обновления приложения WebEx вводимых пользователем параметров. В результате неавторизованный локальный атакующий может выполнить произвольные команды с правами уровня SYSTEM.

По словам исследователей, оригинальный патч устранял возможность запуска неподписанных WebEx файлов, но при этом по-прежнему разрешал инициировать запуск подписанных файлов, позволяющих загрузить вредоносную DLL-библиотеку. Специалисты разработали PoC-код, который копирует файл ptUpdate.exe в подконтрольную атакующему папку, затем создает DLL-библиотеку, содержащую вредоносный код, и выполняет команду, запускающую код в библиотеке.

Уязвимости подвержены версии решения Cisco Webex Meetings Desktop App до 33.6.4 и Cisco Webex Productivity Tools до версии 33.0.6. В настоящее время случаи эксплуатации уязвимости злоумышленниками не выявлены.

Источник

Автор: Сергей Куприянов
5.12.2018 (22:35)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.