Ciscos WebEx-Erweiterung für den Chrome-Browser bringt nicht nur die Möglichkeit, damit Online-Meetings abzuhalten, sondern öffnet die Systeme auch für Angreifer, die darüber bösartigen Code auf den Systemen ausführen können. Der Google-Sicherheitsforscher Tavis Ormandy hat jetzt Details zu der Schwachstelle veröffentlicht. Oarmandy spricht von einer “Magic WebEx-URL”, die das Ausführen von beliebigem Code erlaubt.
Die Erweiterung funktioniere demnach auf jeder URL, die folgendes Muster enthalte: “cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”. Dieses Muster aber könne aber einfach aus dem Extention-Manifest extrahiert werden. Dieses Pattern könne zudem in einem iFrame aufgerufen werden, daher müsse ein Nutzer nicht unbedingt mitbekommen, dass er sich auf einer Web-Seite befindet, die diesem Muster entspricht.
Es reicht laut Project Zero von Google aus, irgend eine Web-Seite aufzurufen, weil die WebEx-Erweiterung nativeMessaging, das Messaging-System von Chrome – verwendet. Das funktioniert auch dann, wenn Anwender aktuell gar nicht mit WebEx arbeiten. Das bedeutet, wie Ormandy über Twitter verbreitet, dass praktisch auf jeder Web-Seite über diese Erweiterung beliebiger Code ausgeführt werden kann. Der Google-Sicherheitsforscher hat dann laut eigenen Angaben dieses System dazu bringen können, Windows-System- und C-Library-Aufrufe zu starten.
Cisco hat bereits mit der Veröffentlichung von WebEx Version 1.0.3 reagiert. Allerdings kommt prompt die Kritik on dem Verschlüsselungsexperten Filippo Valsorda, dass der Patch das Problem nicht vollständig behebe. Warum er diese Ansicht vertritt, führt er in einem Blog-Beitrag näher aus. Falls man die Extension also aktuell nicht benötigt, wäre es vielleicht angeraten, diese vorerst aus Chrome zu entfernen, oder zumindest zu deaktivieren.
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.