Плагин Cisco для браузера Chrome поставил под удар десятки миллионов ПК

Безопасность Стратегия безопасности Техническая защита Интернет Интернет-ПО
мобильная версия
, Текст: Роман Георгиев
В плагине WebEx для проведения видеоконференций в браузере Chrome, разработанном Cisco, обнаружена опасная «дыра», позволяющая выполнить произвольный код. Пока Cisco готовила заплатку, в WebEx нашлось еще несколько уязвимостей.

Волшебная строчка

Компания Cisco опубликовала заплатку для критической уязвимости в своем плагине WebEx для браузера Chrome. Этот плагин используется для проведения веб-конференций, им пользуются десятки миллионов корпоративных пользователей.

Ошибка, обнаруженная в плагине, позволяет злоумышленникам запускать произвольный код на компьютере жертвы, причем совершенно незаметно для последней.

Как заявил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, источником проблемы является «волшебный URL», который используется плагином во время сессий WebEx. Если запрос URL содержит комбинацию символов cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html, эксплуатация «дыры» становится возможной.

По словам Орманди, злоумышленник может поместить такой запрос в iFrame, и жертва не заметит атаки. Он пишет, что этой «волшебной строчки» достаточно, чтобы вредоносный код в WebEx мог запустить любой сайт.

Быстрая, но слабая реакция

Программисты Cisco подготовили патч для расширения, который свел «волшебную» комбинацию к виду *.webex.com и *webex.com.cn. Теперь пользователю выводится окно с предупреждением о том, что на таком-то сайте необходимо запустить клиент WebEx. Если пользователь нажмет «Ок», зловред все равно может быть ему загружен в систему.

Пока Cisco закрывала дыру в своем плагине WebEx, в нем нашлось еще несколько уязвимостей

Эксперты уже назвали предоставляемую защиту «слабой». По мнению Орманди, выставленные ограничения на доменные имена означают, что если на webex.com или webex.com.cn найдется XSS-уязвимость, то возможность удаленного запуска кода никуда не денется.

Филиппо Валсорда (Filippo Valsorda), эксперт Cloudflare, отметил, что сайт webex.com может обходить всплывающие окна.

По словам Валсорды, наиболее эффективный способ на данный момент защититься от атак через расширение WebEx, это создать отдельный профиль в браузере и использовать для веб-конференций только его.

«Идеального кода, лишенного ошибок, не существует, и, к сожалению, даже в самых проверенных продуктах могут встречаться катастрофические ошибки, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Защититься можно только постоянно подвергая сомнению и проверяя безопасность любых программных продуктов разработок».

Пока Cisco готовила патчи для своего плагина, Орманди нашел еще несколько уязвимостей, допускающих удаленный запуск произвольного кода в последнем обновлении для WebEx и известил о них Cisco.