-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2017-0028
                                                             JPCERT/CC
                                                            2017-07-18


                  <<< JPCERT/CC Alert 2017-07-18 >>>

Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170028.html


I. 概要
2017年7月17日 (米国時間)、Cisco より Cisco WebEx browser extension の
脆弱性 (CVE-2017-6753) に関するアドバイザリが公開されました。脆弱性を
悪用するように細工された Web ページにアクセスした場合に、Cisco WebEx
browser extenstion をインストールした Windows PC 上で、任意のコードが
実行される可能性があります。脆弱性の詳細については、Cisco の情報を確認
してください。
なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されています。

    Cisco Systems
    Cisco WebEx Browser Extension Remote Code Execution Vulnerability
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

Cisco は本脆弱性の深刻度を「Critical」と評価しています。影響を受ける
バージョンの Cisco WebEx browser extension を利用している場合は、
「III. 対策」を参考に、修正済みバージョンの適用を推奨します。


II. 対象
脆弱性の影響を受ける製品とバージョンは次のとおりです。

  - Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
  - Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)

本脆弱性は、Windows 上で、対象となるブラウザにおいて、Cisco WebEx
browser extension を利用している場合にのみ影響を受けるため、次の製品は
本脆弱性の影響を受けないとのことです。

  - Cisco WebEx Productivity Tools
  - Cisco WebEx browser extensions for Mac or Linux
  - Cisco WebEx on Microsoft Edge or Internet Explorer

現在使用中のバージョンは、次の方法にて確認ができます。

(1) Google Chrome の場合
  * メニューをクリックし、「その他のツール」から「拡張機能」を選択する
    (もしくは、「chrome://extensions」へアクセスする)
  * バージョンが表示される

(2) Mozilla Firefox の場合
  * メニューをクリックし、「アドオン」から「拡張機能」を選択する
    (もしくは、「about:addons」へアクセスする)
  * 「Cisco WebEx Extension」の「詳細」を選択する
  * バージョンが表示される


III. 対策
Cisco から対策が施されたバージョンが提供されています。各ブラウザの機能
を用いてアップデートを適用することをおすすめします。

  - Cisco WebEx extension on Google Chrome (1.0.12)
  - Cisco WebEx extension on Mozilla Firefox (1.0.12)

なお、使用の必要がない場合など、WebEx 関連のソフトウエアを削除する方法
が Cisco から示されています。

    Cisco Systems
    Meeting Services Removal Tool 
    https://help.webex.com/docs/DOC-2672#jive_content_id_Meeting_Services_Removal_Tool_


IV. 参考情報
    US-CERT
    Cisco Releases Security Updates
    https://www.us-cert.gov/ncas/current-activity/2017/07/17/Cisco-Releases-Security-Updates

    Cisco Systems
    Cisco WebEx Browser Extension Remote Code Execution Vulnerability
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

    Google Chrome
    Cisco WebEx Extension
    https://chrome.google.com/webstore/detail/cisco-webex-extension/jlhmfgmfgeifomenelglieieghnjghma?hl=ja

    Mozilla Firefox
    Cisco WebEx Extension
    https://addons.mozilla.org/ja/firefox/addon/cisco-webex-extension/


今回の件につきまして、当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJZbZsMAAoJEDF9l6Rp7OBIGvcH/22YUWHST7GU+tY4ZUgMUnh4
5GiPKUq3ij83X1O6CI4y+E8j6waxepp/rdaTT2Ca8vfZZyL+SQ0Pif4MQBeazN4T
kT7YRd26oe83bqyI6SYgxjTU594cE/MJk1pVGu4j4ZNqfy0vqNEAaQ+AtH1tlrKM
XmfuNRBxpLWGzGSo/kZVgMLGUdRnPNNXD2RVo9sUuRIpLeLIVTs2eoBt+gPcPccV
d5YzgGNTDxPrTufK8f32nvQOSF8LUB+DDLGKSUx/GydnrRZCq/uo9vkZdaX6hNdy
DixjZoLhwDdWhGc7nODr42Zg+c3UfyGzFy/B7MXTKkuEyGQCYURrJuw8PqgAGyE=
=OOHx
-----END PGP SIGNATURE-----