Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
この脆弱性は、拡張機能の設計に欠陥があることに起因します。 被侵害ユーザが被侵害ブラウザで、攻撃者の制御する Web ページを参照したり攻撃者の提供したリンクをたどったりするよう誘導された場合、この脆弱性が悪用される可能性があります。 成功すると、攻撃者は被侵害ブラウザの権限を使用して任意のコードを実行することができます。
シスコは、Google Chrome および Mozilla Firefox 向けに、この脆弱性に対処するソフトウェア アップデートをリリースしました。 この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex
該当製品
脆弱性のある製品
このドキュメントで説明する脆弱性の影響を受ける Cisco WebEx ブラウザ拡張機能のバージョンは、次のとおりです。
- Google Chrome 向け Cisco WebEx 拡張機能の、1.0.12 より前のバージョン
- Mozilla Firefox 向け Cisco WebEx 拡張機能の、1.0.12 より前のバージョン
Google Chrome
Chrome ユーザの場合、Google Chrome 向け Cisco WebEx 拡張機能のバージョンを確認するには、以下の手順を実行します。
- Chrome でメニュー ボタン(アプリケーションの右上の 3 つのドット)をクリックして、[その他のツール(Tools)] > [拡張機能(Extensions)] を選択します。
Google Chrome 向け Cisco WebEx 拡張機能の ID ストリング(このストリングを使用して拡張機能を含むホストを特定することができます)は次のとおりです。
jlhmfgmfgeifomenelglieieghnjghmaMozilla Firefox
Firefox ユーザの場合、Mozilla Firefox 向け Cisco WebEx 拡張機能のバージョンを確認するには、以下の手順を実行します。
- メニュー ボタン(アプリケーションの右上の 3 つの横棒)をクリックして、[アドオン(Add-ons)] を選択します。
- 拡張機能タブをクリックして下さい
- 拡張機能のリストから [Cisco WebEx 拡張機能(Cisco WebEx Extension)] を見つけて [詳細(More)] リンクをクリックすると、バージョン情報が表示されます。
脆弱性を含んでいないことが確認された製品
シスコは、この脆弱性が以下の製品には影響を与えないことを確認しました。
- Cisco WebEx Productivity Tools
- Mac、Linux 向け Cisco WebEx ブラウザ拡張
- Microsoft Edge、Internet Explorer の Cisco WebEx
回避策
修正済みソフトウェア
http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。 通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。 無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、Cisco Security Advisories and Alerts ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
修正済みリリース
脆弱性を解決するため、次に示す最新版を使用していることを確認する必要があります。
- Google Chrome または Mozilla Firefox 向け Cisco WebEx 拡張機能
- Cisco WebEx デスクトップ アプリケーション
次の製品の修正に関する最新情報については、以下の該当する Cisco Bug ID を参照してください。
- Cisco WebEx Meeting Center: CSCvf15012
- Cisco WebEx Event Center: CSCvf15036
- Cisco WebEx Training Center: CSCvf15033
- Cisco WebEx Support Center: CSCvf15037
- Cisco WebEx Meetings Server: CSCvf15020
- Cisco WebEx Meetings: CSCvf15030
ブラウザ更新
以下のサブセクションでは Cisco WebEx ブラウザ拡張機能を更新する手順について説明します。 ブラウザを起動してウィンドウを 3 ~ 6 時間開いたままにしておくことで、ブラウザの拡張機能を自動更新できます。拡張機能はこの間に自動更新されます。
注: 自動更新の確認が完了する前にブラウザのウィンドウを閉じると、タイマーがリセットされます。自動更新するには、ブラウザ ウィンドウをもう一度開き、3 ~ 6 時間閉じないでおく必要があります。
Google Chrome
Google Chrome 向け Cisco WebEx 拡張機能のバージョン 1.0.12 は 2017 年 7 月 13 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。 Chrome ユーザの場合、Google Chrome 向け Cisco WebEx 拡張機能の修正バージョンが使用されているか確認するには、以下の手順を実行します。
- Chrome で、menu ボタン(アプリケーションの甲革権利の 3 つの点)をクリックし、ツール > 拡張機能を『More』 を選択 して下さい。
- 拡張機能マネージャの上で開発者 Mode チェックボックスをチェックして下さい。 Chrome にボタンの行が表示されます。
- アップデート 拡張機能 Now ボタンをクリックして下さい。
- Chrome ブラウザを再起動します。
Mozilla Firefox
Mozilla Firefox 向け Cisco WebEx 拡張機能のバージョン 1.0.12 は 2017 年 7 月 12 日にリリースされました。このバージョンには、この脆弱性に対する修正が含まれています。 Firefox ユーザの場合、Mozilla Firefox 向け Cisco WebEx 拡張機能の修正バージョンが使用されているか確認するには、以下の手順を実行します。
- メニュー ボタン(アプリケーションの右上の 3 つの横棒)をクリックして、[アドオン(Add-ons)] を選択します。
- 拡張機能タブをクリックして下さい
- 拡張機能のリストから [Cisco WebEx 拡張機能(Cisco WebEx Extension)] を見つけて [詳細(More)] リンクをクリックすると、バージョン情報が表示されます。
- はめば歯車を検索バーの隣でクリックし、確認します更新があるように選択して下さい
Microsoft Internet Explorer
Google Chrome、Mozilla Firefox、Internet Explorer には共有コンポーネントが存在するため、Internet Explorer ユーザは Cisco WebEx プラグインを更新するよう求められます。 プラグインは、各 WebEx 製品に関連する Cisco WebEx クライアント パッケージの一部として利用可能で、WebEx サイトが修正バージョンにアップグレードされた後にダウンロードできます。 アップグレードされたクライアントはアップグレードが実行された後各サイトの ダウンロード セクションから利用できます。 更新済みクライアント ソフトウェアのないアップグレード済みサイトに接続しているユーザの場合、オンライン アップグレードの実行を促す指示が出ることがあります。
Microsoft Internet Explorer 向けブラウザ プラグインが正しくアップグレードできたかどうかは、次の手順を使用して確認できます。
注: Internet Explorer におけるプラグインの登録名は、プラグインに使用するインストール方法に基づいて異なる可能性があります。 プラグインのバージョンは、アップデートを提供した Cisco WebEx のバージョンによって異なります。 アップデートは、WebEx ミーティング参加時に Web 経由で適用されているか、または MSI ファイル経由でクライアントのローカル アップデートによって適用されている可能性があります。 あるバージョンの Cisco WebEx からの修正バージョン プラグインをインストールすると、それ以外の修正バージョンの Cisco WebEx によってインストールされるバージョンにダウングレードしたり変更したりすることはできません。 Internet Explorer ユーザの場合、Internet Explorer 向けのプラグインの修正バージョンが使用されているか確認するには、次の手順を実行します。
- Internet Explorer の [ツール(Tools)] ボタン(アプリケーションの右上の歯車アイコン)をクリックして、[アドオンの管理(Manage add-ons)] を選択します。
- [表示(Show)] ドロップダウン メニューから、[すべてのアドオン(All add-ons)] を選択します。
- Cisco WebEx LLC の下でダウンロード マネージャか GpcContainer クラス追加項目を選択して下さい。 バージョン番号は管理追加項目ウィンドウの下部ので表示する。
- 表示するダウンロード マネージャバージョンか GpcContainer クラス バージョンが次 の テーブルのバージョン ストリングの 1 つであること検証して下さい:
Cisco WebEx Major Version | Fixed GPC Container or Download Manager Version |
---|---|
32.3.4.5 | 10032.3.2017.711 |
31.14.3.30 | 10031.14.2017.711 |
31.11.11 | 10031.11.2017.0713 |
30.20.3.10012 | 10030.100.2017.0711 |
30.9.3 | 10030.100.2017.0713 |
30.6.7 | 10030.100.2017.0713 |
Cisco WebEx デスクトップアプリケーション バージョン アップの検証
シスコは次の製品で使用する Cisco WebEx デスクトップ アプリケーションのすべてのメジャー バージョンに対する修正をリリースしました。
- Cisco WebEx Meeting Center
- Cisco WebEx Event Center
- Cisco WebEx Training Center
- Cisco WebEx Support Center
- Cisco WebEx Meetings
Cisco WebEx Major Version | Fixed Desktop Application Version |
---|---|
WBS32 | 32.3.4.5 |
WBS31 | 31.14.3, 31.11.11 |
WBS30 | 30.20.3, 30.9.3, 30.6.7 |
注: WBS29 で利用可能な修正はありません。
現在の WebEx 顧客はサイトが WebEx ページことをの サポート セクションの アプリケーションバージョン 情報の確認によって更新済ソフトウェアを受け取ったことを確認できます。 この情報を表示するには、次の手順を実行します。
- WebEx アカウントにサインインします
- [Meeting Center] タブをクリックします。
- [サポート(Support)] [サポート(Support)] 配下の [ダウンロード(Download)] をクリックしてください
- [Meeting Center について(About Meeting Center)] という見出しの下の画面の右側に、[アプリバージョン(Application Version)] が表示されます。
更新プログラムを自動受信していない場合、シスコ サポートまたはシスコ パートナーにお問い合わせください。
注: 導入済みサイトのアプリケーション バージョンとの互換性を確保するために、Cisco WebEx 製品のすべてのライセンス済み機能に対するクライアントをアップグレードする必要があります。 1 つのクライアントをアップグレードすることで、CVE-2017-6753 で文書化された脆弱性が解決されます。 次のクライアントを使用できます。
- Cisco WebEx Meeting Center クライアント
- Cisco WebEx Event Center クライアント
- Cisco WebEx Training Center クライアント
- Cisco WebEx Support Center クライアント
- Cisco WebEx Access Anywhere クライアント
- Cisco WebEx Remote Access クライアント
Cisco WebEx Meetings
シスコは Cisco WebEx Meetings に対する修正をリリースしました。 Cisco WebEx Meetings ソフトウェアは T30.20.3 にアップグレードされました。
Cisco WebEx Meetings Server
Cisco WebEx Meetings サーバを展開した顧客は https://software.cisco.com/download/navigator.html?mdfid=282628019&flowid=76922 で、オンサイト Cisco WebEx サービス、更新済ソフトウェアをダウンロードするか、または Cisco Software Center から次のオプションを選択できます:
製品 > 会議ソリューション > Web 会議 > WebEx Meetings サーバ
Cisco WebEx Meetings Server バージョン 2.6 をお使いの場合は、Cisco WebEx Meetings Server バージョン 2.7 以降にアップグレードすることをお勧めします。 Cisco WebEx Meetings Server の次のリリースではこの脆弱性に対処するための更新が済んでいます。
- WebEx Meetings Server 2.6MR3 パッチ 5
- WebEx Meetings Server 2.7MR2 パッチ 9
- WebEx Meetings Server 2.8 パッチ 3
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
出典
URL
改訂履歴
Version | Description | Section | Status | 日付 |
---|---|---|---|---|
1.3 | Cisco WebEx Meetings Server バージョン 2.6 用パッチについての情報が含まれています。 | 修正済みソフトウェア | Final | 2017-August-11 |
1.2 | ブラウザの自動更新に関する情報を追加 | 修正済みソフトウェア | Final | 2017-July-19 |
1.1 | 回避策のセクションを変更 | 回避策 | Final | 2017-July-18 |
1.0 | 初回公開リリース | – | Final | 2017-July-17 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。