ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ພົບ​ຊ່ອງ​ໂຫວ່​ລະ​ດັບ​ Critical ໃນ​ Cisco WebEx ຜູ້​ໃຊ້​ສ່ຽງ​ຖືກ​ແຮັກ​ (Hack) 

ຂໍ້ມູນທົ່ວໄປ 

Cisco ຜູ້​ໃຫ້​ບໍລິການ​ໂຊ​ລູ​ຊັ່ນ (Solutions) ດ້ານ​ເຄືອ​ຂ່າຍ ແລະ ​Data Center ຊື່​ດັງ​ ອອກ​ Security Advisory ແຈ້ງເຕືອນ​ຊ່ອງ​ໂຫວ່ໃນ​ Cisco WebEx Clients ສ່ຽງ​ຖືກ​ແຮັກ​ເກີ​ (Hacker) ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution ໄດ້​ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ອັບ​ເດດ​ແພັດ​ (Patch) ໂດຍ​ໄວ​.

News Images: cricis.png

Credit: Visual Generation/ShutterStock

1.   ຜົນກະທົບ

ຊ່ອງ​ໂຫວ່​ດັ່ງກ່າວ​ມີລະຫັດ​ CVE-2018-0112 ຄວາມ​ຮຸນແຮງ​ລະ​ດັບ​ Critical (CVSS Score 9.0/10) ເປັນ​ຊ່ອງ​ໂຫວ່ໃນ​ Cisco WebEx Business Suite clients, Cisco WebEx Meetings ແລະ​ Cisco WebEx Meetings Server ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​​ສາມາດ​ລັກ​ລັນ (Run) ​ໂຄ້ດ (Code) ​ແປກປອມໃນ​ເຄື່ອງເປົ້າໝາຍໄດ້​ ຈາກ​ໄລຍະ​ໄກ ​ໂດຍ​ທີ່​ບໍ່​ຕ້ອງ​ຢືນຢັນ​ຕົວ​ຕົນ.

ຈ​າ​ກ​ການ​ກວດ​ສອບ​ພົບ​ວ່າ​ມີ​ສາ​ເຫດ​ມາ​ຈາກ​ການເຮັດ​ Input Validation ໃນ​ Cisco WebEx Clients ບໍ່​ດີ​ພຽງ​ພໍ​ ສົ່ງ​ຜົນ​ໃຫ້​ແຮັກ​ເກີ​ສາມາດ​ສ້າງ​ໄຟ​ລ໌​ Flash (.swf) ຊະນິດ​ພິເສດ​ຂຶ້ນ​ມາ​ ແລ້ວ​ສົ່ງ​ໄປ​ຫາ​ຜູ້​ເຂົ້າ​ຮ່ວມ​ປະ​ຊຸມ​ຜ່ານ​ທາງ​ຄຸນສົມບັດ (Feature) ແຊ​ຣ໌​ (Share) ໄຟ​ລ໌​ໄດ້​ ຜູ້​ຮ່ວມ​ປະ​ຊຸມ​ທ່ານ​ໃດ​ທີ່​ຫຼົງ​ເປີດ​ໄຟ​ລ໌​ດັ່ງ​ກ່າວ​ຈະ​ຖືກ​ໂຈມ​ຕີ​ທັນ​ທີ​.

2.   ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

ຜະລິດຕະພັນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​​ມີດັ່ງນີ້້້້້:

  • Cisco WebEx Business Suite (WBS31) client ກ່ອນ​ Version​ T31.23.2
  • Cisco WebEx Business Suite (WBS32) client ກ່ອນ​ Version T32.10
  • Cisco WebEx Meetings with client ກ່ອນ Version T32.10
  • Cisco WebEx Meetings Server ກ່ອນ​ Version 2.8 MR2

3.   ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

 Cisco ບໍ່​ໄດ້​ອອກ​ Workaround ສຳລັບການ​ແກ້​ໄຂ​ບັນຫາ​ຊົ່ວ​ຄາວ​ ດັ່ງ​ນັ້ນ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ WebEx ຮີບຮ້ອນອັບ​ເດດ​ແພັດ​​ລ່າ​ສຸດ​ໂດຍ​ໄວ​.

ລາຍລະອຽດ​ເພີ່ມເຕີມເຂົ້າອ່ານລິ້ງລຸ່ມນີ້:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs

ເອກະສານອ້າງອີງ:

  1. https://www.techtalkthai.com/critical-vuln-found-in-cisco-webex-clients/
  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs