圖片來源: 

Chrome Web Store

Google研究人員Tavis Ormandy周二揭露思科知名的WebEx Chrome擴充程式含有重大安全漏洞,能使駭客透過網站對用戶PC執行任意程式碼攻擊。 

研究人員發現 ,1.0.3版以前的WebEx Chrome擴充程式中可執行任何包含"cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html"字串的URL。這個字串可輕易在擴充程式的公開宣言中找到。由於WebEx Chrome擴充程式使用的是Native Messaging API,任何攻擊者只要在任何惡意網址或線上代管的檔案網址中加入這個「神奇字串」,就能藉由遠端啟用WebEx而在用戶PC上執行惡意程式碼。 

研究人員並指出,這個字串在iFrame中也能作用,因此使用者不需任何動作,只要造訪惡意網站就夠了。 

思科的WebEx是很受歡迎的企業網頁版視訊會議軟體,WebEx擴充程式經常用戶數超過2000萬。 

思科已經在周二釋出 1.0.5版WebEx Chrome擴充程式以解決這個問題。研究人員也呼籲企業用戶儘速升級。


Advertisement

更多 iThome相關內容