思科在WebEx浏览器扩展中开始修补临界缺陷

2022-01-23 10:46:15来源:

思科系统已开始修补其WebEx协作和会议浏览器扩展中的关键漏洞,这些浏览器扩展可能允许攻击者远程在计算机上远程执行恶意代码。

该公司于周四发布了延期延期的修补版 - 1.0.7 - 对于Google Chrome的谷歌Chrome,正在处理Internet Explorer和Mozilla Firefox版本的类似补丁。

Google Security研究员Tavis Ormandy发现了该漏洞,并源于WebEx扩展到任何网站上的WebEx扩展到其URL或内部的任何网站的功能。一个iframe。其中一些WebEx功能允许在计算机上执行任意代码。

思科试图通过限制仅限于* .webex.com或* .webex.com.cn域的敏感功能来解决1.0.5版中的问题。这并不完全解决问题,因为这些域上的任何横向网站脚本(XSS)漏洞都可用于绕过限制。

XSS是Web上最常见类型的漏洞之一,WebEx.com具有超过500个定义的子域。在这些网站上存在多个XSS缺陷的机会很高,实际上,Ormandy发现了一个并证明了初始补丁的旁路。

思科在WebEx扩展版本中添加了进一步的限制,该版本的出现似乎阻止了所有已知的旁路方法。

“看起来他们正确处理Mac和Windows,还在GPCInitCall / GPCExitCall / Etc上添加了一些验证,以便函数必须匹配Regex,”Ormandy说。“这看起来像一个巨大的改善。”

Ormandy补充说,他当前知道任何击败新补丁的方式,所以用户应该尽快升级到最新版本。

单独的Chrome WebEx扩展有大约2000万活跃的用户,因此攻击的风险很高,特别是因为这种漏洞的细节已经公开了几天。IE和安装扩展的Firefox用户应该禁用它,直到为这些浏览器发布固定版本。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章