အရေးကြီးသည့် Cisco Webex ၏ အားနည်းချက်များ (CVE-2019-15283, CVE-2019-15284, CVE-2019-15285, CVE-2019-15286, CVE-2019-15287)

Image
cisco

နောက်ခံ

Cisco မှ Cisco Webex Network Recording Player နှင့် Cisco Webex Player တို့တွင် တွေ့ရှိရသော အရေးကြီးသည့် အားနည်းချက်များ (CVE-2019-15283, CVE-2019-15284, CVE-2019-15285, CVE-2019-15286, CVE-2019-15287) အတွက် Software Patches များကို ထုတ်ပေးပြီးဖြစ်သည်။ Webex Network Recording Player ဆိုသည်မှာ Webex Recording ဖိုင်များကို စံ Format များဖြစ်သည့် Windows Media Video၊ Flash (သို့) MP4 အဖြစ်သို့ ပြောင်းလဲပေးသော Application ဖြစ်သည်။ Webex Player ကတော့ Record လုပ်ထားသော Webex Meeting ဖိုင်များကို တည်းဖြတ်ခြင်းနှင့် play back လုပ်ခြင်းတို့ ဆောင်ရွက်နိုင်သော Application ပင်ဖြစ်သည်။

          တိုက်ခိုက်သူများမှ ၎င်းအားနည်းချက်များကို အသုံးချကာ Advanced Recording Format (ARF) သို့မဟုတ် Webex Recording Format (WRF) ကဲ့သို့သော ဖိုင်များကို ပစ်မှတ် ထားခံရသော အသုံးပြုသူများဆီသို့ ပေးပို့ပြီး ၎င်းဖိုင်များကို ဖွင့်မိအောင် အကွက်ချလှည့်ဖြား ခြင်းဖြင့် တိုက်ခိုက်လာနိုင်သည်။ ထိုသို့ ပြုလုပ်ခြင်းဖြင့် တိုက်ခိုက်သူများမှ အသုံးပြုသူ၏ Operating System တွင် Remote Code Execution ကို ပြုလုပ်နိုင်စေသည်။

အားနည်းချက်ရှိနေသည့် Product များ

  • Cisco Webex Meeting sites - WBS 39.5.12 အစောပိုင်းထွက်ရှိထားသော Webex Network Recording Player နှင့် Webex Player အားလုံး
  • Cisco Wevex Meetings Online - 1.3.44 အစောပိုင်းထွက်ရှိထားသော Webex Network Recording Player နှင့် Webex Player အားလုံး
  • Cisco Webex Meetings Server – 4.0MR2 အစောပိုင်းထွက်ရှိထားသော Webex Network Recording Player အားလုံး

အကျိုးသက်ရောက်မှု

တိုက်ခိုက်သူမှ ၎င်းအားနည်းချက်များကို အသုံးချကာ အောင်မြင်စွာ ထိုးဖောက်ဝင်ရောက်နိုင် ပါက အဖျက်အမှာင့် Activity များဖြစ်သည့် အခွင့်မရှိသော Progr‌am များထည့်သွင်းခြင်း နှင့် မသမာသော Administrator အကောင့်များ ဖန်တီးကာ Data များကို ကြည့်ခြင်း၊ ပြင်ခြင်း၊ ဖျက်ခြင်းတို့ကို လုပ်ဆောင်သွားနိုင်မည်ဖြစ်သည်။

အကြံပြုချက်

အားနည်းချက်ရှိနေသော Product များကို အသုံးပြုနေသော System Administrator များအနေ နှင့် နောက်ဆုံးသော Security Updates များကို ချက်ချင်း ထည့်သွင်းကြဖို့ လိုအပ်ပါသည်။ လုံခြုံရေးဆိုင်ရာ သတိပေးချက်များကို အောက်ပါ Link တွင် အသေးစိတ် ဖတ်ရှုနိုင်ပါသည်။

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities.

References
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-webex-player

Source: https://www.csa.gov.sg/singcert/news/advisories-alerts/critical-cisco-webex-vulnerabilities