23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。
专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,由于 magic 模式内嵌于 <iframe> 标签中,即使没有 XSS 攻击者仍可执行任意代码。
Mozilla 方面对思科的修复方式并不满意,同时指出 webex.com 没有严格遵循 Web安全协议(HSTS)和内容安全策略(CSP)。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件,直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户,这一漏洞的爆发恐将造成重大影响。
安全专家 Ormandy 已对外发布 PoC 进行漏洞演示,只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接:https://lock.cmpxchg8b.com/ieXohz9t/
稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。0day
文章评论