思科在WebEx浏览器扩展中开始修补临界缺陷
思科系统已开始修补其WebEx协作和会议浏览器扩展中的关键漏洞,这些浏览器扩展可能允许攻击者远程在计算机上远程执行恶意代码。
该公司于周四发布了延期延期的修补版 - 1.0.7 - 对于Google Chrome的谷歌Chrome,正在处理Internet Explorer和Mozilla Firefox版本的类似补丁。
Google Security研究员Tavis Ormandy发现了该漏洞,并源于WebEx扩展到任何网站上的WebEx扩展到其URL或内部的任何网站的功能。一个iframe。其中一些WebEx功能允许在计算机上执行任意代码。
思科试图通过限制仅限于* .webex.com或* .webex.com.cn域的敏感功能来解决1.0.5版中的问题。这并不完全解决问题,因为这些域上的任何横向网站脚本(XSS)漏洞都可用于绕过限制。
XSS是Web上最常见类型的漏洞之一,WebEx.com具有超过500个定义的子域。在这些网站上存在多个XSS缺陷的机会很高,实际上,Ormandy发现了一个并证明了初始补丁的旁路。
思科在WebEx扩展版本中添加了进一步的限制,该版本的出现似乎阻止了所有已知的旁路方法。
“看起来他们正确处理Mac和Windows,还在GPCInitCall / GPCExitCall / Etc上添加了一些验证,以便函数必须匹配Regex,”Ormandy说。“这看起来像一个巨大的改善。”
Ormandy补充说,他当前知道任何击败新补丁的方式,所以用户应该尽快升级到最新版本。
单独的Chrome WebEx扩展有大约2000万活跃的用户,因此攻击的风险很高,特别是因为这种漏洞的细节已经公开了几天。IE和安装扩展的Firefox用户应该禁用它,直到为这些浏览器发布固定版本。
