Webex修复了一些严重的怪异安全漏洞
来源: 2021-03-10 12:03:07
思科已在其Webex视频会议服务中修补了多个令人困扰的安全漏洞。视频会议软件中的缺陷由Webex客户IBM标记。该公司的IBM研究部门和IBM的CISO办公室对日常工作中使用的协作工具进行了更深入的研究,以更好地了解它们如何影响虚拟会议。在调查过程中,该公司的安全研究人员发现了Webex中的三个漏洞。
如果被利用,这些缺陷可能会使恶意行为者成为“鬼魂”并参加会议而未被发现。在仍然可以完全访问视频,音频,聊天和屏幕共享功能的同时,将无法在参与者列表上看到他们。
更糟的是,即使被排除在外,鬼仍可能会留在Webex会议中,同时仍保持音频连接,使他们能够收听敏感的公司业务。此外,即使不被允许参加会议,幽灵也可以从会议室大厅访问有关会议参与者的信息,包括其全名,电子邮件地址和IP地址。
IBM研究团队在检查该平台对企业安全和隐私的影响时,发现了Cisco Webex中的三个漏洞,分别为CVE-2020-3441,CVE-2020-3471和CVE-2020-3419。
这些缺陷会影响具有唯一会议URL的预定会议,甚至影响Webex Personal Rooms。但是,个人会议室可能更易于利用,因为它们通常基于会议室所有者名称和组织名称的可预测组合。
一经发现,IBM便将漏洞报告给思科,并且已对所有漏洞进行了修补。但是,两家公司都同意限制有关缺陷的信息传播,直到所有补丁都可用以降低整个行业的风险为止。
为避免在视频会议期间成为任何潜在攻击的受害者,IBM建议组织测试新的协作工具的安全性,评估可信的所有呼叫策略,使用唯一的会议ID,实施会议密码或PIN,通过点名开始会议,打开通知,在进行背对背通话时,立即结束可疑呼叫,锁定会议并重新开始会议。
相关文章
猜你喜欢
今日头条
图文推荐
