Dans une note publiée sur son site consacré à la sécurité de ses produits, Cisco annonce un patch pour WebEx Meetings Server, WebEx Centers (Meeting Center, Event Center, Training Center et Support Center) et WebEx Meetings, qui vient corriger une faille qualifiée de critique. Il s’agit plus précisément de l'exécution de code distant dans son extension WebEx pour deux navigateurs fonctionnant sous Windows, Chrome et Firefox. Ces deux derniers sont particulièrement représentés chez les clients de WebEx avec 20 millions d’utilisateurs actifs pour le premier et 731 000 pour le second selon Cisco.

« Une vulnérabilité dans les extensions Cisco WebEx pour les navigateurs Google Chrome et Mozilla Firefox pourrait permettre à un attaquant distant non authentifié d'exécuter un code arbitraire avec les privilèges attribués au navigateur du système concerné », indique Cisco dans sa note publié le 17 juillet 2017. Cisco a évalué le bug CVE-2017-6753 comme de niveau critique et lui a donné une note de vulnérabilité (Vulnerability Scoring System) de 9,6 sur une échelle de 10.

Une faille à combler en urgence pour les utilisateurs de WebEx 

« La vulnérabilité est due à un défaut de conception de l'extension. Un attaquant qui peut convaincre un utilisateur vulnérable de visiter une page Web contrôlée par un attaquant ou de suivre un lien attaché par un attaquant avec un navigateur concerné pourrait exploiter la vulnérabilité. En cas de réussite, l'attaquant pourrait exécuter un code arbitraire avec les privilèges du navigateur concerné », a précisé l’équipementier.

Cisco a publié la semaine dernière les mises à jour de l'extension WebEx pour Chrome et Mozilla sur les stores respectifs des deux navigateurs. Les versions d'extension avant 1.0.12 pour les deux navigateurs sont vulnérables. L’équipementier ajoute que cette vulnérabilité ne concerne pas les extensions WebEx sur Microsoft Edge ou Internet Explorer, Safari sur MacOS et les navigateurs pour Linux.