Cisco a annoncé cette semaine qu’il avait ajouté de nouvelles fonctionnalités de sécurité à Webex et qu’il avait également corrigé plusieurs vulnérabilités de haute gravité dans le produit de conférence.

Lors de son événement Cisco Live 2020, le géant de la mise en réseau a informé ses clients qu’il avait étendu ses fonctionnalités de conservation de la perte de données (DLP), de conservation légale et de découverte électronique aux réunions Webex.

«Cela donne un niveau de sécurité et de protection sans précédent pour tout le contenu des réunions – enregistrements, transcriptions, actions et faits saillants», a expliqué Cisco. «Nous élargissons également nos options de chiffrement de bout en bout pour inclure le chiffrement AES 256 bits avec le mode GCM, offrant une protection accrue pour les données de réunion et une résistance contre la falsification.»

La société a également publié plusieurs avis de sécurité cette semaine pour les vulnérabilités Webex, dont trois qui ont été classés comme étant de gravité élevée et un niveau de gravité moyen.

L’une des failles de gravité élevée (CVE-2020-3361) permet à un attaquant distant non authentifié d’obtenir un accès non autorisé à un site Webex en envoyant des demandes spécialement conçues. La vulnérabilité affecte les sites Cisco Webex Meetings et Cisco Webex Meetings Server.

Une autre vulnérabilité (CVE-2020-3263) a été identifiée dans l’application Webex Meetings Desktop. Il peut permettre à un attaquant distant non authentifié d’exécuter des programmes arbitraires qui se trouvent déjà sur le système cible en convaincant la victime de cliquer sur une URL malveillante.

« Si des fichiers malveillants sont implantés sur le système ou sur un chemin d’accès aux fichiers réseau accessible, l’attaquant pourrait exécuter du code arbitraire sur le système affecté », a averti Cisco.

L’application Webex Meetings Desktop pour Mac est affectée par une vulnérabilité (CVE-2020-3342) qui permet à un attaquant distant, sans authentification, d’exécuter du code arbitraire sur le système cible en abusant de la fonction de mise à jour logicielle de l’application et en convaincant la victime d’accéder à un mal intentionné…