Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

le greffon Cisco WebEx pour Chrome Firefox et Internet Explorer sur Windows

Résumé

Une vulnérabilité a été découverte dans Cisco WebEx. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution

La vulnérabilité CVE-2017-3823 peut être exploitée lorsqu'un utilisateur se rend sur un site qui contient un motif particulier dans l'URL.
Comme ce motif peut être contenu dans une iframe qu'il est trivial de cacher, l'exploitation à l'insu de l'utilisateur est tout à fait possible.

Cisco annonce que seuls les systèmes Windows sont impactés par cette vulnérabilité.
Le greffon Cisco WebEx pour Edge sur Windows 10 n'est pas vulnérable.
Un correctif est disponible pour le greffon Cisco WebEx pour Chrome dans la version 1.0.5. Si celui-ci ne comble pas complètement la vulnérabilité, il en limite l'impact. En effet, si le motif particulier se trouve dans une URL associée à des domaines autres que *.webex.com ou *.webex.com.cn, l'utilisateur doit accepter explicitement l'exécution de code. Cependant, cela ne protège pas l'utilisateur si les sites susnommés sont vulnérables à des failles de type injection de code indirecte à distance (XSS).

Dans l'attente de correctifs de sécurité, le CERT-FR recommande la désinstallation du greffon Cisco Webex sur les systèmes vulnérables.
Lorsque cela n'est pas possible, le CERT-FR recommande a minima l'utilisation du greffon Cisco Webex par le biais d'un navigateur Chrome à jour.

Depuis le 31 janvier 2017, Cisco a publié un correctif de sécurité résolvant la vulnérabilité.

Documentation