Уязвимость BDU:2018-00377

Дата: 21.01.2017. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2018-00377.

Наименование уязвимости: Уязвимость программного обеспечения для веб-конференцсвязи WebEx Extension, ActiveTouch General Plugin Container, GpcContainer Class ActiveX, WebEx Meeting Center и Download Manager ActiveX Control, вызванная выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями.

Описание уязвимости: Уязвимость программного обеспечения для веб-конференцсвязи WebEx Extension, ActiveTouch General Plugin Container, GpcContainer Class ActiveX, WebEx Meeting Center и Download Manager ActiveX Control вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с повышенными привилегиями с помощью специально сформированной веб-страницы
Уязвимое ПО: Прикладное ПО информационных систем Cisco Systems Inc. WebEx до 1.0.7 | Прикладное ПО информационных систем Cisco Systems Inc. Download Manager ActiveX Control до 2.1.0.10 | Прикладное ПО информационных систем Cisco Systems Inc. ActiveTouch General Plugin Container до 106 | Прикладное ПО информационных систем Cisco Systems Inc. GpcContainer Class ActiveX до 10031.6.2017.0126 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_mr1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_mr1p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_mr2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_mr2p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_mr3 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.6_mr3p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.7_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.7_mr1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.7_mr1p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center 2.7_mr2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center t29_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center t30_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meeting Center t31_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr3 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr4 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr5 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr6 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr7 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr8 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr8p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr9 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr9p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr9p2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.0_mr9p3 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr2p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr3 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr4 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr5 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr5p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr6 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr6p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr6p2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.5_mr6p3 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_mr1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_mr1p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_mr2 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_mr2p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_mr3 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.6_mr3p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.7_base | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.7_mr1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.7_mr1p1 | Прикладное ПО информационных систем Cisco Systems Inc. WebEx Meetings Server 2.7_mr2 |

Наименование ОС и тип аппаратной платформы: Windows |
Дата выявления: 21.01.2017.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-3823. BID ID:95737.
Прочая информация:
Тип ошибки CWE: CWE-119
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/95737
https://bugs.chromium.org/p/project-zero/issues/detail?id=1096
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *