Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2017-ALE-001

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 31 janvier 2017
No CERTFR-2017-ALE-001

Affaire suivie par :

CERT-FR

BULLETIN D'ALERTE DU CERT-FR

Objet : Vulnérabilité dans Cisco WebEx

Gestion du document


Tableau 1: Gestion du document
Référence CERTFR-2017-ALE-001
Titre Vulnérabilité dans Cisco WebEx
Date de la première version 25 janvier 2017
Date de la dernière version 31 janvier 2017
Source(s) Bulletin de sécurité Cisco cisco-sa-20170124-webex du 24 janvier 2017
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 - Risque(s)

  • exécution de code arbitraire à distance

2 - Systèmes affectés

le greffon Cisco WebEx pour Chrome Firefox et Internet Explorer sur Windows

3 - Résumé

Une vulnérabilité a été découverte dans Cisco WebEx. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

4 - Solution

La vulnérabilité CVE-2017-3823 peut être exploitée lorsqu'un utilisateur se rend sur un site qui contient un motif particulier dans l'URL.
Comme ce motif peut être contenu dans une iframe qu'il est trivial de cacher, l'exploitation à l'insu de l'utilisateur est tout à fait possible.

Cisco annonce que seuls les systèmes Windows sont impactés par cette vulnérabilité.
Le greffon Cisco WebEx pour Edge sur Windows 10 n'est pas vulnérable.
Un correctif est disponible pour le greffon Cisco WebEx pour Chrome dans la version 1.0.5. Si celui-ci ne comble pas complètement la vulnérabilité, il en limite l'impact. En effet, si le motif particulier se trouve dans une URL associée à des domaines autres que *.webex.com ou *.webex.com.cn, l'utilisateur doit accepter explicitement l'exécution de code. Cependant, cela ne protège pas l'utilisateur si les sites susnommés sont vulnérables à des failles de type injection de code indirecte à distance (XSS).

Dans l'attente de correctifs de sécurité, le CERT-FR recommande la désinstallation du greffon Cisco Webex sur les systèmes vulnérables.
Lorsque cela n'est pas possible, le CERT-FR recommande a minima l'utilisation du greffon Cisco Webex par le biais d'un navigateur Chrome à jour.

Depuis le 31 janvier 2017, Cisco a publié un correctif de sécurité résolvant la vulnérabilité.

5 - Documentation

Gestion détaillée du document

25 janvier 2017
version initiale.
31 janvier 2017
clôture de l'alerte.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-001

CERT-FR
2017-01-31
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-26