В минувший вторник Cisco выпустила патч для удаленно эксплуатируемой бреши в приложении WebEx Meetings для Android, а также ряд информационных бюллетеней, предупреждающих о пока не закрытых уязвимостях в продуктах компании.

Согласно бюллетеню разработчика, заплатка для WebEx Meetings актуальна для всех версий мобильного приложения ниже 8.5.1; данных об эксплойте itw на настоящий момент нет. «Уязвимость обработки специальных разрешений для Cisco WebEx Meetings на Android позволяет удаленному атакующему без аутентификации изменить платформенно-зависимые разрешения пользовательского приложения», — резюмирует Cisco.

На сайте для разработчиков Android отмечено, что определение кастомных разрешений зачастую остается невостребованным и лишь привносит потенциальный риск для приложения.

Чтобы воспользоваться уязвимостью в WebEx для Android, злоумышленнику придется заставить пользователя загрузить вредоносное приложение. «Эксплойт позволит пользовательскому приложению получить те же разрешения, которые использует WebEx», — поясняет разработчик. Обновленная версия WebEx Meetings уже выложена на Google Play.

Одновременно Cisco опубликовала три информационных бюллетеня об уязвимостях, пачти к которым находятся в разработке. Один из этих бюллетеней посвящен бреши в ЦОД-платформе Unified Computing System (UCS), открывающей возможность для подделки запросов на стороне сервера. Данная уязвимость присутствует в версиях 1.3 и 1.3.0.1 UCS.

«Причиной уязвимости является некорректная валидация данных, вводимых пользователем, — гласит бюллетень. — Злоумышленник может воспользоваться этой брешью, послав пользователю веб-приложения особый запрос. Если он будет обработан, атакующий сможет получить доступ к целевой системе и произвести несанкционированные действия».

Cisco также предупредила пользователей об XSS-уязвимости в Cisco Unity Connection, приложении унифицированной голосовой почты. Брешь содержится в веб-интерфейсе административного управления, она может быть использована для удаленной атаки на браузер пользователя. Согласно Cisco, данная XSS актуальна для версии 9.1 продукта.

«Уязвимость привнесена недостаточно тщательной проверкой вводимого пользователем параметра, — пишет разработчик в бюллетене. — Атакующий сможет использовать ее, убедив пользователя пройти по вредоносной ссылке. Эксплойт позволяет получить доступ к конфиденциальной информации на целевой системе».

Финальный бюллетень посвящен уязвимости на проводном IP-телефоне Cisco Unified SIP Phone 3905, открывающей возможность для удаленного проведения атаки на отказ в обслуживании. «Данная уязвимость вызвана ограничением ресурсов устройства, — пишет Cisco. — Атакующий может воспользоваться ею, направив большой объем трафика на уязвимое устройство. Эксплойт позволит нарушить нормальное функционирование устройства и в итоге вызвать состояние отказа в обслуживании».

Категории: Уязвимости