WebEx Chrome-Plug-in macht Windows-PCs angreifbar

Ciscos WebEx-Erweiterung für den Chrome-Browser bringt nicht nur die Möglichkeit, damit Online-Meetings abzuhalten, sondern öffnet die Systeme auch für Angreifer, die darüber bösartigen Code auf den Systemen ausführen können. Der Google-Sicherheitsforscher Tavis Ormandy hat jetzt Details zu der Schwachstelle veröffentlicht. Oarmandy spricht von einer “Magic WebEx-URL”, die das Ausführen von beliebigem Code erlaubt.

Die Erweiterung funktioniere demnach auf jeder URL, die folgendes Muster enthalte: “cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”. Dieses Muster aber könne aber einfach aus dem Extention-Manifest extrahiert werden. Dieses Pattern könne zudem in einem iFrame aufgerufen werden, daher müsse ein Nutzer nicht unbedingt mitbekommen, dass er sich auf einer Web-Seite befindet, die diesem Muster entspricht.

Es reicht laut Project Zero von Google aus, irgend eine Web-Seite aufzurufen, weil die WebEx-Erweiterung nativeMessaging, das Messaging-System von Chrome – verwendet. Das funktioniert auch dann, wenn Anwender aktuell gar nicht mit WebEx arbeiten. Das bedeutet, wie Ormandy über Twitter verbreitet, dass praktisch auf jeder Web-Seite über diese Erweiterung beliebiger Code ausgeführt werden kann. Der Google-Sicherheitsforscher hat dann laut eigenen Angaben dieses System dazu bringen können, Windows-System- und C-Library-Aufrufe zu starten.

Cisco hat bereits mit der Veröffentlichung von WebEx Version 1.0.3 reagiert. Allerdings kommt prompt die Kritik on dem Verschlüsselungsexperten Filippo Valsorda, dass der Patch das Problem nicht vollständig behebe. Warum er diese Ansicht vertritt, führt er in einem Blog-Beitrag näher aus. Falls man die Extension also aktuell nicht benötigt, wäre es vielleicht angeraten, diese vorerst aus Chrome zu entfernen, oder zumindest zu deaktivieren.