WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件
23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。
专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,由于 magic 模式内嵌于 <iframe> 标签中,即使没有 XSS 攻击者仍可执行任意代码。
Mozilla 方面对思科的修复方式并不满意,同时指出 webex.com 没有严格遵循 Web安全协议(HSTS)和内容安全策略(CSP)。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件,直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户,这一漏洞的爆发恐将造成重大影响。
安全专家 Ormandy 已对外发布 PoC 进行漏洞演示,只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接:https://lock.cmpxchg8b.com/ieXohz9t/
稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
“WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件” 的相关文章
黑客演示入侵电影制片人 Mac 计算机 证明 macOS 无法主动抵御网络威胁
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...
区块链公司 Ronin 被黑 6.15亿美元加密货币被盗
视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照R...
TerraMaster 操作系统漏洞可能使 NAS 设备遭到远程黑客攻击
Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分...
SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat
早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(...
日本电装德国分部大量机密数据被窃取 黑客威胁将公开
丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物...
黑客正利用虚假 Windows 11 升级引诱受害者上钩
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据...
评论列表
发表评论
