WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件
23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。
专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,由于 magic 模式内嵌于 <iframe> 标签中,即使没有 XSS 攻击者仍可执行任意代码。
Mozilla 方面对思科的修复方式并不满意,同时指出 webex.com 没有严格遵循 Web安全协议(HSTS)和内容安全策略(CSP)。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件,直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户,这一漏洞的爆发恐将造成重大影响。
安全专家 Ormandy 已对外发布 PoC 进行漏洞演示,只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接:https://lock.cmpxchg8b.com/ieXohz9t/
稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
“WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件” 的相关文章
图片滤镜应用被曝可窃取 FB 登录凭证 下架前已安装超 10 万次
一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次,而且该应用目前仍可下载(发稿时已下架)。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用,允许用户上传图片并将其转换为卡通...
美及欧洲执法机构联盟查封了黑客网站 RaidForums.com
一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和...
SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat
早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(...
黑客正利用虚假 Windows 11 升级引诱受害者上钩
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据...
公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击
加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某...
NCSC 向四千多家网店发警告:警惕 Magecart 攻击 会窃取客户支付数据
英国国家网络安全中心(NCSC)近日向 4000 多家网店的店主发出警告,他们的网站受到了 Magecart 的攻击影响,会窃取客户的支付信息。Magecart 攻击也称网络盗取、数字盗取或电子盗取,攻击者将被称为信用卡盗取器的脚本注入被攻击的网店,以收获和窃取顾客在结账页面提交的支付和/或个人信息...
评论列表
发表评论
