宇露网专业提供最快最新的资源技术分享,以百度SEO优化技术教程分享和QQ个性化的网站,为我们的网上生活添加色彩!

IBM 披露思科 Webex 的三个高危漏洞 以“幽灵”身份加入视频会议

2020-11-19 16:25:22 作者:杜宇露 围观938 0评论

伴随着新冠疫情肆虐,越来越多的员工开始通过远程办公的方式进行线上协作、视频会议。而远程办公的激增,也暴露了诸多安全性和数据保密性问题。IBM 的研究人员近日对热门应用–思科 Webex 进行了测试,发现该服务存在三个漏洞。这些漏洞能够让攻击者以“Ghost”身份加入到会议中而不被发现。

7d2458c84c37ce7

这些漏洞不仅能够让攻击者秘密地加入会议,甚至在被“驱逐”之后仍然可以作为音频参与者留在会议中。攻击者甚至可以在不进入呼叫的情况下从大厅获得有关会议与会者的详细信息。

视频链接:https://www.bilibili.com/video/BV11t4y1e7dP?zw

虽然当这些攻击者加入到会议中依然会触发蜂鸣声,但如果这次会议中有很多与会者,那么就非常容易被忽略。IBM 表示在发现该漏洞的同时,还发现可以通过特殊的 URL 地址来影响已经设定的会议和会议安排。

f7a33861c640197

该漏洞可以发生在客户端和服务器之间的“握手”过程中。由于“不正确的输入验证和清理”,攻击者可以操纵通过WebSocket发送的请求(客户端与服务器之间的连接),并将特殊设计的值注入到请求中以作为虚拟主机加入。研究人员成功地测试了这些场景,并且可以参加会议且不会出现在与会人员列表中,也不会被发现。

IBM说,由于问题的严重性和紧迫性,它立即与Cisco共享了其发现的细节。这家网络公司致力于修复上述漏洞,并于今天发布了安全公告。这三个错误分别被标记为CVE-2020-3441, CVE-2020-3471, CVE-2020-3419,并已成功修复。由于此问题影响了大多数平台上的Webex客户端,因此该公司建议用户将其应用程序更新到最新版本。

 

 

 

 

(消息来源:cnBeta;封面来自网络)

 

标签:HackerNews  黑客  安全  互联网  国际  威胁情报  维基解密