思科修補WebEx Meetings app權限升級漏洞

思科周四發佈安全更新，以修補許多企業使用的視訊會議軟體WebEx Meetings的桌機版app中的權限升級漏洞。

編號CVE-2018-15442的漏洞出在Windows桌機版WebEx Meetings app中處理更新服務指令的元件，未能對用戶參數充份驗證而導致。攻擊者可發送帶有變造的argument指令來開採漏洞，進而取得系管理員權限執行任意指令。

所幸攻擊者需具備本機存取權限才能發動此類攻擊，思科將之列為「重要」風險。不過若在Active Directory環境下，駭客仍可運用Windows作業系統的遠端管理工具遠端開採本漏洞。

思科已發佈更新程式來修補漏洞，呼籲用戶儘快安裝，並表示本漏洞並沒有暫時緩解的辦法。

思科同時針對libssh函式庫的驗證旁路漏洞發佈安全公告。編號CVE-2018-10933 的Libssh漏洞於上周揭露。該漏洞出現在0.6版本以上、0.7.6和0.8.4版以下的libssh函式庫。在有libssh漏洞的伺服器軟體中，攻擊者只要在SSH2_MSG_USERAUTH_REQUEST的地方改以SSH2_MSG_USERAUTH_SUCCESS呼叫即可騙過伺服器，即可在不需輸入任何帳密情況下通過驗證，進而登入系統。

由於大部份伺服器都是採用OpenSSH函式庫作為SSH驗證，使libssh函式庫漏洞未引起同等注意，也未傳出漏洞開採的行為。不過Red Hat Enterprise Linux 7 Extras受到影響。

思科表示還在了解旗下哪些產品線受到影響。