WebEx 浏览器插件现远程代码执行漏洞，或诱发大规模攻击事件

23 日，Google Project Zero 安全专家 Tavis Ormandy 对外表示，Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞，或可诱发大规模攻击事件。

专家发现攻击者可使用包含 magic （魔术）字符串的任意 URL 触发漏洞，从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题，但并未达到效果。研究员强调，由于 magic 模式内嵌于 <iframe> 标签中，即使没有 XSS 攻击者仍可执行任意代码。

Mozilla 方面对思科的修复方式并不满意，同时指出 webex.com 没有严格遵循 Web安全协议（HSTS）和内容安全策略（CSP）。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件，直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户，这一漏洞的爆发恐将造成重大影响。

安全专家 Ormandy 已对外发布 PoC 进行漏洞演示，只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接：https://lock.cmpxchg8b.com/ieXohz9t/

稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。