Cisco 修复 WebEx Player 多处高危 Bug

上周 Cisco 发布了告警，称其流行的 WebEx player 中存在多处漏洞。公告中共列出了 6 个 bug，这些漏洞与 ARF 格式和 WRF 格式的录制文件有关。

按照 Cisco 的说法：“远程攻击者可以通过 email 或 URL 链接向用户提供恶意的 ARF 或 WRF 文件，通过诱使用户打开这些文件就能实现漏洞的利用。”

Cisco 警告说，利用这些漏洞可能允许攻击者在目标系统上执行任意代码，在不严重情况下至少也会导致程序的崩溃。

存在漏洞的产品如下：

• T30.20 版本之前的 Cisco WebEx Business Suite (WBS30) 客户端
• T31.14.1 版本之前的 Cisco WebEx Business Suite (WBS31) 客户端
• T32.2 版本之前的 Cisco WebEx Business Suite (WBS32) 客户端
• T31.14 版本之前的 Cisco WebEx Meetings 客户端
• 2.7MR3 版本之前的 Cisco WebEx Meeting 服务端

针对这些错误 Cisco 已经发布了软件更新，此外，Cisco 产品安全事件响应小组表示目前尚未发现有关这些漏洞的在野利用。

漏洞主要影响 WebEx ARF Player 和 WebEx WRF Player，两者都是用于播放先前保存的会议录制文件的，当打开录制文件时会自动安装对应程序。所有这些相关的程序 Cisco 都已经做了更新。

相关的 CVE 编号是 CVE-2017-12367、CVE-2017-12368、CVE-2017-12369、CVE-2017-12370、CVE-2017-12371 和 CVE-2017-12372，并且 CVSS 评分都达到了 9.6 分。其中，有 4 个 CVE 是高危 RCE 漏洞。另外，CVE-2017-12367 是 DoS 漏洞，而 CVE-2017-12369 是 OOB 漏洞。

今年 7 月，Cisco 还更新了 Chrome 和 Firefox 浏览器中的 WebEx 扩展，相关漏洞是由 Google Project Zero 研究员 Tavis Ormandy 和 Divergent Security 研究员 Cris Neckar 披露的，能够实现在安装了扩展的计算机上远程执行代码。

原文链接：https://threatpost.com/cisco-patches-critical-playback-bugs-in-webex-players/129057/

本文由看雪翻译小组 BDomne 编译

谷歌将阻止第三方软件在Chrome浏览器中注入代码

谷歌计划于接下来的14个月分三个阶段阻止第三方软件在Chrome浏览器中注入代码。

此举影响最大的是杀毒软件和其他安全产品。为了拦截恶意软件、钓鱼网站和其他危险，杀毒软件通常会将代码注入进浏览器本地进程。

第一阶段：
2018年4月，Chrome66 将可以再网页崩溃后对用户发出警告，告知用户其他软件正在Chrome中注入代码，并指导用户更新或移除该软件。

第二阶段：

2018年7月，Chrome68阻止第三方软件进入Chrome进程。如果从一开始就开始阻止Chrome，Chrome会重启并允许注入，与此同时，提示用户如何移除该软件。

第三阶段：
2019年七月，Chrome72会永久阻止代码注入。

Google Chrome Canary仍然处于64版本，二稳定的Chrome浏览器是在62版本。

唯一不受Google此项新政策影响的是微软签名的代码、辅助软件和IME打字辅助软件。

Windows浏览器上三分之二的Chrome将受到影响

来自Chrome团队的安全研究员称三分之二的Windows Chrome用户都装有会向Chrome注入漏洞的应用。这些人遭遇崩溃的几率会增长15%。

Chrome建议软件供应商更新他们的编码方式，合理利用Chrome的新特性，如浏览器扩展或本地消息API，放弃传统的代码注入方式。

理论上来说，Chrome一整年都在向软件供应商提示升级他们的代码。

来源:https://www.bleepingcomputer.com/news/google/google-will-block-third-party-software-from-injecting-code-into-chrome/
本文由看雪翻译小组哆啦咪编译