Patch nu!: Fatalt sikkerhedshul i den udbredte Chrome-udvidelse WebEx

Webex har omkring 20 millioner brugere, der alle er sårbare, indtil de patcher. Selv efter det skal man være påpasselig, lyder det fra sikkerhedsforsker.

En sårbarhed, der tillader alle websider at eksekvere en hvilken som helst kode gennem Chrome-udvidelsen Cisco WebEx, er netop blevet afsløret på Googles Projects Zeros blog.

En lang række faktorer gør tilsammen, at denne sikkerhedsbrist er blandt de mest alvorlige nogensinde. Det skriver arstechnica.com. Der er frigivet patches.

For det første er møde-platformen WebEx udbredt blandt virksomheder, der i sig selv er et interessant mål for hackere. Ikke mindst når hackerne kan køre kode og programmer og dermed få mange forskellige ting ud af angrebet.

For det andet er det eneste, en webside skal gøre for at udnytte svagheden, at hoste en fil eller en anden kilde med kodestrengen ‘cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html’. En såkaldt ‘magisk’ streng, som WebEx bruger til at starte et møde på fjernstyrede computerweb, der har installeret WebEx-udvidelsen til Chrome.

Sikkerhedseksperten, der publicerede svagheden på Google Blog, Tavis Ormandy, skriver også, at alle websites i princippet kan aktivere og køre kode uden at spørge brugeren. Hvis de loader den magiske kodestreng ind i et HTML-baseret iframe tag, vil brugeren ikke bemærke, hvad der er sket, før det er for sent.

Stadig ikke helt sikker

Selvom WebEx er blevet patchet, er udvidelsen ikke helt sikker, for mens det i den nye patch umiddelbart er umuligt for alle øvrige sites at køre den magiske kodestreng uden at spørge brugeren, får Webex stadig lov.

»Svagheden er et mareridt i forhold til social engineering (hvor man udnytter medarbejdere til at komme ind i en virksomheds it-systemer, red.),« siger sikkerhedsforsker hos CloudFlare Filippo Valsorda, som har skrevet en guide til, hvordan man beskytter sig mod svagheden.

Den kritiske update er tilgængelig i version 1.0.3 af WebEx-udvidelsen til Chrome. Den bliver automatisk downloadet og kørt, men på grund af alvoren i bristen rådes brugerne af udvidelsen til selv at sørge for, at den bliver opdateret øjeblikkeligt. Det gøres ved at tilgå 'udviklerværktøjer' oppe i højre side af Chrome-vinduet og derefter vælge 'opdater extensions med det samme'-feltet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dan Jakobsen

Det gøres ved at tilgå 'udviklerværktøjer' oppe i højre side af Chrome-vinduet og derefter vælge 'opdater extensions med det samme'-feltet.

Hos mig (Chrome v. 55) er det: Menu - Settings - Extensions - Tick-off: Developer mode - Click: Update extension now

  • 0
  • 0
Log ind eller Opret konto for at kommentere