Вибір редакції

Уязвимость расширения для проведения веб-конференций Cisco WebEx позволяет осуществлять выполнение произвольного кода

26 января, 2017. 10:01
Расширением Cisco WebEx активно пользуются около 20 млн человек — оно является частью популярного софта для проведения веб-конференций. Исследователь Google Тэвис Оманди опубликовал информацию об обнаруженной им уязвимости в этом компоненте — используемая для его работы технология nativeMessaging позволяет любому сайту, к которому подключается пользователь, осуществлять выполнение произвольного кода.

Расширение WebEx работает для любого URL, содержащего специальный паттерн (magic pattern) 

cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html

 — он извлекается из манифеста расширения. Паттерн может появляться и в iframe — поэтому пользователь не всегда может контролировать работу расширения. При этом, использование компонентом nativeMessaging позволяет любому сайту, на который зашел пользователь, исполнять произвольный код.


ЧИТАТЬ МАТЕРИАЛ
Комментарии: