JPCERT コーディネーションセンター

Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起

各位

JPCERT-AT-2017-0028
JPCERT/CC
2017-07-18

JPCERT/CC Alert 2017-07-18

Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170028.html


I. 概要2017年7月17日 (米国時間)、Cisco より Cisco WebEx browser extension の脆弱性 (CVE-2017-6753) に関するアドバイザリが公開されました。脆弱性を悪用するように細工された Web ページにアクセスした場合に、Cisco WebExbrowser extenstion をインストールした Windows PC 上で、任意のコードが実行される可能性があります。脆弱性の詳細については、Cisco の情報を確認してください。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されています。

Cisco Systems
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

Cisco は本脆弱性の深刻度を「Critical」と評価しています。影響を受けるバージョンの Cisco WebEx browser extension を利用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を推奨します。


II. 対象脆弱性の影響を受ける製品とバージョンは次のとおりです。

- Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
- Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)

本脆弱性は、Windows 上で、対象となるブラウザにおいて、Cisco WebExbrowser extension を利用している場合にのみ影響を受けるため、次の製品は本脆弱性の影響を受けないとのことです。

- Cisco WebEx Productivity Tools
- Cisco WebEx browser extensions for Mac or Linux
- Cisco WebEx on Microsoft Edge or Internet Explorer

現在使用中のバージョンは、次の方法にて確認ができます。

(1) Google Chrome の場合
* メニューをクリックし、「その他のツール」から「拡張機能」を選択する
(もしくは、「chrome://extensions」へアクセスする)
* バージョンが表示される

(2) Mozilla Firefox の場合
* メニューをクリックし、「アドオン」から「拡張機能」を選択する
(もしくは、「about:addons」へアクセスする)
* 「Cisco WebEx Extension」の「詳細」を選択する
* バージョンが表示される


III. 対策Cisco から対策が施されたバージョンが提供されています。各ブラウザの機能を用いてアップデートを適用することをおすすめします。

- Cisco WebEx extension on Google Chrome (1.0.12)
- Cisco WebEx extension on Mozilla Firefox (1.0.12)

なお、使用の必要がない場合など、WebEx 関連のソフトウエアを削除する方法が Cisco から示されています。

Cisco Systems
Meeting Services Removal Tool
https://help.webex.com/docs/DOC-2672#jive_content_id_Meeting_Services_Removal_Tool_


IV. 参考情報
US-CERT
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/07/17/Cisco-Releases-Security-Updates

Cisco Systems
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

Google Chrome
Cisco WebEx Extension
https://chrome.google.com/webstore/detail/cisco-webex-extension/jlhmfgmfgeifomenelglieieghnjghma?hl=ja

Mozilla Firefox
Cisco WebEx Extension
https://addons.mozilla.org/ja/firefox/addon/cisco-webex-extension/


今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter