Уязвимость расширения для проведения веб-конференций Cisco WebEx позволяет осуществлять выполнение произвольного кода

26 Января 10:24
Расширением Cisco WebEx активно пользуются около 20 млн человек — оно является частью популярного софта для проведения веб-конференций. Исследователь Google Тэвис Оманди опубликовал информацию об обнаруженной им уязвимости в этом компоненте — используемая для его работы технология nativeMessaging позволяет любому сайту, к которому подключается пользователь, осуществлять выполнение произвольного кода.

Расширение WebEx работает для любого URL, содержащего специальный паттерн (magic pattern) 

cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html

 — он извлекается из манифеста расширения. Паттерн может появляться и в iframe — поэтому пользователь не всегда может контролировать работу расширения. При этом, использование компонентом nativeMessaging позволяет любому сайту, на который зашел пользователь, исполнять произвольный код.


ЧИТАТЬ МАТЕРИАЛ

Комментарии:

НОВЫЕ СТАТЬИ

Представлен «Самый быстрый Firefox»
Иван Николенко 16 Ноября 10:13
В интернете появился поддельный Windows Movie Maker
По материалам ESET 10 Ноября 12:11