Cisco heeft op zaterdag nog een kwetsbaarheid opgelost in zijn WebEx-browserextensie, ditmaal in drie browserversies in plaats van een. Ook deze maakte het mogelijk voor een aanvaller om willekeurige code uit te voeren.

Het is de tweede keer in een week dat een kritieke kwetsbaarheid uit de extensie gehaald moet worden. Door de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren met dezelfde rechten als de browser waarin de plug-in draait. Daarvoor moet de kwaadwillende het doelwit overtuigen om naar een webpagina te navigeren die aangepast is om de kwetsbaarheid in de api van de extensie uit te buiten. Meer details maakt Cisco niet bekend.

Waar de vorige kwetsbaarheid alleen voor de Chrome-browser gold, treft deze zowel Chrome als Firefox en Internet Explorer. Er zijn geen workarounds voor de kwetsbaarheid, dus de update moet zo snel mogelijk geïnstalleerd worden. De versie waarin de kwetsbaarheid is weggewerkt is direct voor alle browsers te downloaden.

Dat er een tweede beveiligingsupdate zo kort volgt op de eerste, is niet geheel verrassend. Tavis Ormandy, de beveiligingsonderzoeker van Google die de problemen aan het licht bracht, stelde bij de publicatie van het vorige euvel al dat Cisco weliswaar snel reageerde op de melding van het probleem, maar hij was er niet volledig van overtuigd dat de kwetsbaarheid ook compleet weggewerkt was.

De browserextensie van Cisco is gericht op zakelijke gebruikers en biedt verschillende mogelijkheden waaronder videogesprekken. WebEx heeft ongeveer twintig miljoen gebruikers.

Reacties mogelijk gemaakt door CComment