Společnost Cisco Systems začala záplatovat kritickou zranitelnost ve svém rozšíření WebEx pro prohlížeče, které mohou útočníci zneužít ke spuštění libovolného kódu. Systém WebEx slouží k týmové spolupráci a online konferencím.
Ve čtvrtek společnost Cisco vydala opravenou verzi rozšíření s označením 1.0.7 pro prohlížeč Google Chrome a pracuje na opravách i pro Internet Explorer a Mozilla Firefox.
Zranitelnost objevil bezpečnostní analytik společnosti Google Tavis Ormandy. Projeví se na jakékoli stránce, která má řetězec „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ v URL nebo uvnitř iframe.
Společnost Cisco se pokusila chybu opravit ve verzi 1.0.5 omezením citlivých funkcionalit na domény *.webex.com nebo *.webex.com.cn. Tím se však problém nevyřešil zcela, protože omezení bylo možné obejít pomocí cross-site scriptingu (XSS).
XSS je jeden z nejběžnějších typů zranitelností na webu a webex.com má více než 500 definovaných poddomén. Je velmi pravděpodobné, že se na některých z těchto stránek chyba XSS vyskytuje. Sám Ormandy jednu našel a dokázal prvotní záplatu obejít.
Cisco ve verzi 1.0.7 přidává do rozšíření WebEx další restrikce, které zjevně blokují všechny známé způsoby, jak ochranu obejít, což Ormandy potvrzuje.
Rozšíření WebEx pro Chrome má okolo 20 milionů aktivních uživatelů, takže riziko útoku je vysoké, zejména proto, že podrobnosti o uvedené zranitelnosti jsou známé již řadu dní. Uživatelé prohlížečů IE a Firefox by měli rozšíření deaktivovat, dokud nebude vydána opravená verze i pro ně.
PŘEDPLATNÉ
ČLÁNKY DO MAILU