思科 添加新安全功能，修补 Webex 中严重漏洞

思科本周宣布，Webex已添加了新的安全功能，修复了会议产品中的多个高严重性漏洞。

在Cisco Live 2020活动中，这家网络巨头发布公告，它已将数据丢失防护（DLP）功能保留，将合法保留电子数据展示功能扩展到了Webex Meetings。

思科解释说：“这为所有会议内容提供了前所未有的安全性和保护，包括记录，转录，操作项目和重点内容。扩展了端到端加密选项，包括采用GCM模式的AES 256位加密，为满足数据需求提供了增强的保护，并防止篡改。”

该公司还于本周发布了几项有关Webex漏洞的安全公告，其中包括三项被归类为高严重性和一项中度严重性。

高危漏洞之一（CVE-2020-3361）允许未经身份验证的远程攻击者通过发送经特殊设计的请求来获得对Webex站点的未授权访问。该漏洞影响Cisco Webex Meetings站点和Cisco Webex Meetings Server。

Webex Meetings桌面应用程序中发现了另一个漏洞（CVE-2020-3263）。通过诱惑用户单击恶意URL，它可以允许未经身份验证的远程攻击者执行目标系统上已经存在的任意程序。

思科警告说：“如果恶意文件被植入系统或可访问的网络文件路径中，则攻击者可以在受影响的系统上执行任意代码。”

适用于Mac的Webex Meetings桌面应用程序受到漏洞（CVE-2020-3342）的影响，该漏洞使未经身份验证的远程攻击者可以通过滥用应用程序的软件更新功能并说服受害者访问目标计算机来在目标系统上执行任意代码。恶意网站，其提供的文件类似于合法Webex网站上托管的文件。

Trustwave研究人员发现，用于Windows的Webex Meetings App受漏洞影响，该漏洞可能使有权访问目标系统的攻击者从内存中获取用户名，会议信息和身份验证令牌。

“在攻击情形下，在安装了Windows版WebEx客户端的计算机上运行的任何恶意本地用户或恶意进程都可以监视内存映射文件中的登录许可。一旦找到许可证，就像任何泄漏的凭证一样，可以将其传输到某个地方，以便可以用于登录有问题的WebEx帐户，下载会议记录或者查看/编辑会议等，” Trustwave在博客中说。

思科周三还宣布，已在其TelePresence产品和Small Business RV系列路由器中修补了高严重性漏洞。尽管可以远程利用这些缺陷，但它们需要身份验证，攻击者需要管理员特权。

思科没有发现证据表明本周修复的任何漏洞已被利用。