各位
https://www.jpcert.or.jp/at/2017/at170028.html
I. 概要2017年7月17日 (米国時間)、Cisco より Cisco WebEx browser extension の脆弱性 (CVE-2017-6753) に関するアドバイザリが公開されました。脆弱性を悪用するように細工された Web ページにアクセスした場合に、Cisco WebExbrowser extenstion をインストールした Windows PC 上で、任意のコードが実行される可能性があります。脆弱性の詳細については、Cisco の情報を確認してください。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されています。
Cisco Systems
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex
Cisco は本脆弱性の深刻度を「Critical」と評価しています。影響を受けるバージョンの Cisco WebEx browser extension を利用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を推奨します。
II. 対象脆弱性の影響を受ける製品とバージョンは次のとおりです。
- Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
- Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)
本脆弱性は、Windows 上で、対象となるブラウザにおいて、Cisco WebExbrowser extension を利用している場合にのみ影響を受けるため、次の製品は本脆弱性の影響を受けないとのことです。
- Cisco WebEx Productivity Tools
- Cisco WebEx browser extensions for Mac or Linux
- Cisco WebEx on Microsoft Edge or Internet Explorer
現在使用中のバージョンは、次の方法にて確認ができます。
(1) Google Chrome の場合
* メニューをクリックし、「その他のツール」から「拡張機能」を選択する
(もしくは、「chrome://extensions」へアクセスする)
* バージョンが表示される
(2) Mozilla Firefox の場合
* メニューをクリックし、「アドオン」から「拡張機能」を選択する
(もしくは、「about:addons」へアクセスする)
* 「Cisco WebEx Extension」の「詳細」を選択する
* バージョンが表示される
III. 対策Cisco から対策が施されたバージョンが提供されています。各ブラウザの機能を用いてアップデートを適用することをおすすめします。
- Cisco WebEx extension on Google Chrome (1.0.12)
- Cisco WebEx extension on Mozilla Firefox (1.0.12)
なお、使用の必要がない場合など、WebEx 関連のソフトウエアを削除する方法が Cisco から示されています。
Cisco Systems
Meeting Services Removal Tool
https://help.webex.com/docs/DOC-2672#jive_content_id_Meeting_Services_Removal_Tool_
IV. 参考情報
US-CERT
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/17/Cisco-Releases-Security-Updates
Cisco Systems
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex
Google Chrome
Cisco WebEx Extension
https://chrome.google.com/webstore/detail/cisco-webex-extension/jlhmfgmfgeifomenelglieieghnjghma?hl=ja
Mozilla Firefox
Cisco WebEx Extension
https://addons.mozilla.org/ja/firefox/addon/cisco-webex-extension/
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2017-0028
JPCERT/CC
2017-07-18
JPCERT/CC Alert 2017-07-18
Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起https://www.jpcert.or.jp/at/2017/at170028.html
I. 概要2017年7月17日 (米国時間)、Cisco より Cisco WebEx browser extension の脆弱性 (CVE-2017-6753) に関するアドバイザリが公開されました。脆弱性を悪用するように細工された Web ページにアクセスした場合に、Cisco WebExbrowser extenstion をインストールした Windows PC 上で、任意のコードが実行される可能性があります。脆弱性の詳細については、Cisco の情報を確認してください。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されています。
Cisco Systems
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex
Cisco は本脆弱性の深刻度を「Critical」と評価しています。影響を受けるバージョンの Cisco WebEx browser extension を利用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を推奨します。
II. 対象脆弱性の影響を受ける製品とバージョンは次のとおりです。
- Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
- Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)
本脆弱性は、Windows 上で、対象となるブラウザにおいて、Cisco WebExbrowser extension を利用している場合にのみ影響を受けるため、次の製品は本脆弱性の影響を受けないとのことです。
- Cisco WebEx Productivity Tools
- Cisco WebEx browser extensions for Mac or Linux
- Cisco WebEx on Microsoft Edge or Internet Explorer
現在使用中のバージョンは、次の方法にて確認ができます。
(1) Google Chrome の場合
* メニューをクリックし、「その他のツール」から「拡張機能」を選択する
(もしくは、「chrome://extensions」へアクセスする)
* バージョンが表示される
(2) Mozilla Firefox の場合
* メニューをクリックし、「アドオン」から「拡張機能」を選択する
(もしくは、「about:addons」へアクセスする)
* 「Cisco WebEx Extension」の「詳細」を選択する
* バージョンが表示される
III. 対策Cisco から対策が施されたバージョンが提供されています。各ブラウザの機能を用いてアップデートを適用することをおすすめします。
- Cisco WebEx extension on Google Chrome (1.0.12)
- Cisco WebEx extension on Mozilla Firefox (1.0.12)
なお、使用の必要がない場合など、WebEx 関連のソフトウエアを削除する方法が Cisco から示されています。
Cisco Systems
Meeting Services Removal Tool
https://help.webex.com/docs/DOC-2672#jive_content_id_Meeting_Services_Removal_Tool_
IV. 参考情報
US-CERT
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/17/Cisco-Releases-Security-Updates
Cisco Systems
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex
Google Chrome
Cisco WebEx Extension
https://chrome.google.com/webstore/detail/cisco-webex-extension/jlhmfgmfgeifomenelglieieghnjghma?hl=ja
Mozilla Firefox
Cisco WebEx Extension
https://addons.mozilla.org/ja/firefox/addon/cisco-webex-extension/
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/