{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>le greffon Cisco WebEx pour Chrome Firefox et Internet  Explorer sur Windows</P>","closed_at":"2017-01-31","content":"## Solution\n\nLa vuln\u00e9rabilit\u00e9 CVE-2017-3823 peut \u00eatre exploit\u00e9e lorsqu'un utilisateur\nse rend sur un site qui contient un motif particulier dans l'URL.  \nComme ce motif peut \u00eatre contenu dans une iframe qu'il est trivial de\ncacher, l'exploitation \u00e0 l'insu de l'utilisateur est tout \u00e0 fait\npossible.  \n\nCisco annonce que seuls les syst\u00e8mes Windows sont impact\u00e9s par cette\nvuln\u00e9rabilit\u00e9.  \nLe greffon Cisco WebEx pour Edge sur Windows 10 n'est pas vuln\u00e9rable.  \nUn correctif est disponible pour le greffon Cisco WebEx pour Chrome dans\nla version 1.0.5. Si celui-ci ne comble pas compl\u00e8tement la\nvuln\u00e9rabilit\u00e9, il en limite l'impact. En effet, si le motif particulier\nse trouve dans une URL associ\u00e9e \u00e0 des domaines autres que \\*.webex.com\nou \\*.webex.com.cn, l'utilisateur doit accepter explicitement\nl'ex\u00e9cution de code. Cependant, cela ne prot\u00e8ge pas l'utilisateur si les\nsites susnomm\u00e9s sont vuln\u00e9rables \u00e0 des failles de type injection de code\nindirecte \u00e0 distance (XSS).  \n\nDans l'attente de correctifs de s\u00e9curit\u00e9, le CERT-FR recommande la\nd\u00e9sinstallation du greffon Cisco Webex sur les syst\u00e8mes vuln\u00e9rables.  \nLorsque cela n'est pas possible, le CERT-FR recommande a minima\nl'utilisation du greffon Cisco Webex par le biais d'un navigateur Chrome\n\u00e0 jour.\n\nDepuis le 31 janvier 2017, Cisco a publi\u00e9 un correctif de s\u00e9curit\u00e9\nr\u00e9solvant la vuln\u00e9rabilit\u00e9.\n","cves":[{"name":"CVE-2017-3823","url":"https://www.cve.org/CVERecord?id=CVE-2017-3823"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-20170124-webex du 24    janvier 2017","url":"https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex"},{"title":"Avis CERT-FR CERTFR-2017-AVI-036 Cisco WebEx Browser    Extension","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-036/index.html"},{"title":"Google Project Zero","url":"https://bugs.chromium.org/p/project-zero/issues/detail?id=1096"}],"reference":"CERTFR-2017-ALE-001","revisions":[{"description":"version initiale.","revision_date":"2017-01-25T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2017-01-31T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans <span class=\"textit\">Cisco\nWebEx</span>. Elle permet \u00e0 un attaquant de provoquer une ex\u00e9cution de\ncode arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9 dans Cisco WebEx","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-20170124-webex du 24 janvier 2017","url":null}]}