当前位置: > >思科WebEx Chrome扩充程式遭爆有「神奇字串」,让PC门户洞开

思科WebEx Chrome扩充程式遭爆有「神奇字串」,让PC门户洞开

03-12,IT资讯思科WebEx Chrome扩充程式遭爆有「神奇字串」,让PC门户洞开最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

Chrome Web Store

Google研究人员Tavis Ormandy周二揭露思科知名的WebEx Chrome扩充程式含有重大安全漏洞,能使骇客透过网站对用户PC执行任意程式码攻击。?

研究人员发现 ,1.0.3版以前的WebEx Chrome扩充程式中可执行任何包含"cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html"字串的URL。这个字串可轻易在扩充程式的公开宣言中找到。由于WebEx Chrome扩充程式使用的是Native Messaging API,任何攻击者只要在任何恶意网址或线上代管的档案网址中加入这个「神奇字串」,就能藉由远端启用WebEx而在用户PC上执行恶意程式码。?

研究人员并指出,这个字串在iFrame中也能作用,因此使用者不需任何动作,只要造访恶意网站就够了。?

思科的WebEx是很受欢迎的企业网页版视讯会议软体,WebEx扩充程式经常用户数超过2000万。?

思科已经在周二释出 1.0.5版WebEx Chrome扩充程式以解决这个问题。研究人员也呼吁企业用户儘速升级。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >