WebEx Meetings漏洞沒補好，思科再補一次

思科（Cisco）在上個月修補了Windows版的Cisco Webex Meetings桌面程式的安全漏洞，該編號為CVE-2018-15442的安全漏洞可用來擴張權限，允許駭客執行任意程式，不過，專精於身分認證的資安業者SecureAuth發現該修補並不完全，使得思科於本周二（11/27）重新修補了一次。

CVE-2018-15442漏洞源自於Webex Meetings程式沒能充份驗證使用者所提供的參數，駭客只要利用精心打造的引數來調用更新服務命令就能開採，將允許已通過認證的用戶擴張權限，以系統權限執行任意程式。

雖然思科已在上個月修補該漏洞，但SecureAuth卻發現可透過DLL挾持繞過該修補程式，只要將一個由WebEx所簽署的ptUpdate.exe複製到駭客的管理員文件夾中，再建立一個含有惡意程式的DLL，便同樣能夠執行服務控制命令與惡意程式。

思科則坦承，在接獲額外的攻擊手法之後，確認上個月的修補不夠充份，因而開發了新的修補程式，該漏洞影響Webex Meetings Desktop App 33.6.4之前的版本，以及Cisco Webex Productivity Tools 32.6.0~33.0.6版。