导语:近日,用于Cisco Systems WebEx通信和协作服务的Chrome浏览器扩展进行了更新,用以修复使其2000万用户可能受到由他们访问的任何网站执行攻击代码的漏洞。
近日,用于Cisco Systems WebEx通信和协作服务的Chrome浏览器扩展进行了更新,用以修复使其2000万用户可能受到由他们访问的任何网站执行攻击代码的漏洞。
事实上,一些因素的组合使得这个漏洞的危害十分严重。首先,WebEx主要用于企业环境,这通常会导致非常大的损失。第二,一旦一个易受攻击的用户访问一个网站,那么任何人都会很容易的去控制它使用一些小标志或者任意微不足道的东西去执行恶意代码。该漏洞以及补丁信息在周一由Tavis Ormandy披露在了一篇博客文章中,他是负责谷歌的Project Zero安全性信息披露服务的研究员。
而负责病毒通报的安全研究员Martijn Grooten告诉Ars:
如果有恶意的人发现了这一点,那么它就会变成一个藏着金矿的漏洞。不仅是这2000万用户的数量足够大,使其值得去进行攻击,更因为运行WebEx的人很有可能是企业用户,想象一下,这看起来就像勒索软件一样!
所有可能受到攻击的网站都会在其网址中托管包含字符串“cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”的文件或其他资源。这是WebEx服务用于在访问安装了Chrome扩展程序的计算机上远程启动会议的“魔法”模式。Ormandy发现任何访问其所的网站都可以调用命令,不仅仅是开始WebEx会话,还包括执行攻击者选择的任何代码或命令。而为了使更多的开发内容隐身,字符串还可以装入一个基于HTML的iframe标签,防止访问者从以往任何时候都看到它。
虽然星期一的补丁在Ormandy报告漏洞后的两天内被广泛的赞扬了,但研究人员仍然警告称补丁可能无法充分保护Chrome扩展程序免受所有类型的代码执行漏洞。这是因为更新仍然允许思科的webex.com网站调用魔法模式,并且没有任何警告。如果该网站有史以来遇到的跨站点脚本漏洞 -a Web应用程序的bug不是常见的类型,在攻击者注入脚本到网页中之后,有可能用它来再次利用WebEx的扩展缺陷。
实际上,一些批评者也错误地提供了一个当启用WebEx的浏览器访问加载魔术字符串的站点时显示一个并不太清楚的警告消息的修复方案。警告显示:“WebEx会议启动器需要在此站点上启动WebEx绘画。如果接受此请求,WebEx会议客户端将启动,下方就给用户选择单击取消或确定。
“这是一个社会工程的噩梦,”内容交付网络CloudFlare的安全研究员Filippo Valsorda这样告诉Ars。他还提供了该指南为防止该漏洞。
另外,在一封电子邮件中,独立安全研究员Aaron Zauner提供了一些技术分析:
扩展往往具有自己的类别API,并再次进行扩展,WebEx会话应该是在网站(例如嵌入网站)和本机浏览器代码(即Chrome)之间传递JSON消息。正如Tavis 所说,扩展传递了很多关于会话的属性,其中许多看起来是安全敏感的,并且可能允许攻击向量。这些属性之一似乎有自己的脚本语言,因此会允许与本地代码交互。扩展运行Microsoft的C时会给攻击者提供通过传递JSON属性/对象来调用C功能的可能性。而漏洞利用可能是一个简单的网页,其中包含JavaScript代码。将WebEx扩展安装在chrome中 – 攻击者可能会将受害者指向这样的网站,运行任意代码或启动程序,删除受害者计算机上的文件等。
关键更新在适用于ChromeWebEx扩展的1.0.3版中可用。它会自动下载并自动运行,但是考虑到严重性,用户应该通过点击Chrome顶部权限中的三个垂直点来确保它已立即安装。他们应该选择更多工具,扩展,并查看有关WebEx的信息。而要强制WebEx立即更新,用户可以选中“开发人员模式”复选框,然后单击“立即更新扩展”按钮。