;

Cisco záplatuje kritickou chybu v rozšíření WebEx pro prohlížeče

31. 1. 2017
Doba čtení: 1 minuta

Sdílet

 Autor: © Sergej Khackimullin - Fotolia.com
Zranitelnost v oblíbeném konferenčním nástroji umožňovala útočníkům vzdáleně spustit v počítači škodlivý kód.

Společnost Cisco Systems začala záplatovat kritickou zranitelnost ve svém rozšíření WebEx pro prohlížeče, které mohou útočníci zneužít ke spuštění libovolného kódu. Systém WebEx slouží k týmové spolupráci a online konferencím.

Ve čtvrtek společnost Cisco vydala opravenou verzi rozšíření s označením 1.0.7 pro prohlížeč Google Chrome a pracuje na opravách i pro Internet Explorer a Mozilla Firefox.

Zranitelnost objevil bezpečnostní analytik společnosti Google Tavis Ormandy. Projeví se na jakékoli stránce, která má řetězec „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ v URL nebo uvnitř iframe.

Společnost Cisco se pokusila chybu opravit ve verzi 1.0.5 omezením citlivých funkcionalit na domény *.webex.com nebo *.webex.com.cn. Tím se však problém nevyřešil zcela, protože omezení bylo možné obejít pomocí cross-site scriptingu (XSS).

XSS je jeden z nejběžnějších typů zranitelností na webu a webex.com má více než 500 definovaných poddomén. Je velmi pravděpodobné, že se na některých z těchto stránek chyba XSS vyskytuje. Sám Ormandy jednu našel a dokázal prvotní záplatu obejít.

bitcoin_skoleni

Cisco ve verzi 1.0.7 přidává do rozšíření WebEx další restrikce, které zjevně blokují všechny známé způsoby, jak ochranu obejít, což Ormandy potvrzuje.

Rozšíření WebEx pro Chrome má okolo 20 milionů aktivních uživatelů, takže riziko útoku je vysoké, zejména proto, že podrobnosti o uvedené zranitelnosti jsou známé již řadu dní. Uživatelé prohlížečů IE a Firefox by měli rozšíření deaktivovat, dokud nebude vydána opravená verze i pro ně.