Cisco heeft een patch uitgebracht voor zijn WebEx-extensie voor de Chrome-browser. Deze dicht een lek dat het uitvoeren van willekeurige code mogelijk maakte. De kwetsbaarheid werd ontdekt door een Google-onderzoeker van het Project Zero-beveiligingsteam.

De onderzoeker, Tavis Ormandy, schrijft dat de extensie populair is met ongeveer twintig miljoen gebruikers. Het lek is daarnaast vrij eenvoudig te gebruiken, omdat een aanvaller alleen gebruik hoeft te maken van een 'magic pattern' om een WebEx-sessie te starten of willekeurige code uit te voeren. Volgens Ormandy kan dit patroon opgenomen zijn in een iframe, waardoor het slachtoffer niet op de hoogte is dat er iets gebeurt.

Cisco heeft inmiddels een patch uitgebracht in versie 1.0.3 van de extensie. Ormandy merkt op dat het bedrijf snel heeft gereageerd, omdat hij het lek in het weekend meldde. In een van zijn opmerkingen over de patch schrijft Ormandy dat hij 'ervan uitgaat dat het lek is opgelost'. Andere deelnemers aan de conversatie zijn sceptisch en zeggen dat Cisco het gebruik van de 'magische url' alleen beperkt heeft tot het domein webex.com. Hoewel dat het gebruik van de kwetsbaarheid moeilijker maakt, is het door middel van cross-site scripting nog steeds mogelijk om deze te misbruiken, zoals Ormandy zelf ook al aangeeft.

Bovendien toont de extensie buiten dat domein alleen een waarschuwing, die na het wegklikken ervan alsnog het uitvoeren van code mogelijk maakt. De WebEx-extensie maakt het mogelijk om samen te werken, bijvoorbeeld door een videogesprek op te starten. De plug-in richt zich op zakelijke gebruikers. Filippo Valsorda, beveiligingsonderzoeker bij Cloudflare, heeft een blogpost aan de kwetsbaarheid gewijd, waarin hij gebruikers beveiligingstips geeft.

Ormandy ontdekt vaker lekken in software van andere bedrijven, met name Chrome-extensies. Zijn meest recente ontdekking was een lek in een automatisch geïnstalleerde Adobe-extensie.

Reacties mogelijk gemaakt door CComment