"1"

Спеціаліст команди Google Project Zero Тевіс Орманді попередив про проблеми в популярному розширенні WebEx, створеному Cisco. Орманді пише, що експлоїт для Chrome-плагіна неймовірно простий. Розширення дозволяє будь-якому сайту виконати довільний код на машині користувача, причому для цього достатньо просто використовувати «чарівний URL».

Під «чарівним URL» дослідник має на увазі справжнісінький бекдор, виявлений в плагіні. Справа в тому, що будь-який URL-запит (прихований запит чи невидимий iframe на сторінці), що містить рядок cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html, відкриває прямий шлях до виконання довільного коду за рахунок використання nativeMessaging. Дослідник навіть створив спеціальну сторінку з proof-of-concept експлоїтом, зайшовши на яку, можна переконатися, що атака працює (відкриється калькулятор, як на ілюстрації вище).

Хоча в понеділок, 23 січня 2017 року, розробники Cisco вже представили виправлену версію 1.0.3, Орманді зазначає, що патч не захищає популярний плагін від всіх атак, спрямованих на виконання коду. Так, сайти webex.com і webex.com.cn як і раніше можуть використовувати «чарівний» експлоїт без відома користувача. В інших випадках жертва все-таки побачить попередження і повинна буде вирішити виконання коду, натиснувши «OK». Дослідник пише, що тепер залишається сподіватися, що webex.com не містить XSS-вразливостей, адже розширенням активно користуються близько 20 мільйонів чоловік.

Вас також може зацікавити інформація про те, що нова версія Android-трояна Tordow обзавелася функціями шифрувальника.

Коментарі закрито.

Поділитися

Створено приціл для iPhone для стрільби в покемонів

Для того, щоб зловити покемона в Pokemon Go необхідно точно потрапити в нього пасткою в формі кулі – так званим покеболом. Виконання цього завдання покликане полегшити винахід одного з фанатів гри. Йдеться про своєрідний «приціл», який надівається на смартфон. За формою і розмірами він точно підходить для iPhone 6 і iPhone 6s, але за тим […]

5 корисних налаштувань iPhone, про які ви могли забути

Для багатьох з нас iPhone вже давно більше, ніж просто смартфон. Це професійний інструмент, асистент. Але чи використовуємо ми максимально всі його можливості? Спеціально для вас зібрали добірку з п’яти фішок iPhone, які напевно стануть в нагоді. 1. Створення довільної вібрації Уявіть: робочий день, звук на телефоні вимкнений, важливі повідомлення губляться в одноманітних вібро-викликах. На […]

Знайди собі компанію за допомогою FreeForLunch

Стрімкий ривок у сфері комунікацій чимало знизив рівень живого спілкування між людьми. Але інколи сучасні технології навпаки дозволяють знайти нових друзів або просто провести час з цікавою компанією. І сьогодні ми оглянемо один з таких додатків FreeForLunch для iPhone і iPad. Головною метою сервісу є допомога в пошуку людей для спільного проведення часу, будь-то офіційний […]