思科在WebEx浏览器扩展中开始修补临界缺陷

思科系统已开始修补其WebEx协作和会议浏览器扩展中的关键漏洞，这些浏览器扩展可能允许攻击者远程在计算机上远程执行恶意代码。

该公司于周四发布了延期延期的修补版 - 1.0.7 - 对于Google Chrome的谷歌Chrome，正在处理Internet Explorer和Mozilla Firefox版本的类似补丁。

Google Security研究员Tavis Ormandy发现了该漏洞，并源于WebEx扩展到任何网站上的WebEx扩展到其URL或内部的任何网站的功能。一个iframe。其中一些WebEx功能允许在计算机上执行任意代码。

思科试图通过限制仅限于* .webex.com或* .webex.com.cn域的敏感功能来解决1.0.5版中的问题。这并不完全解决问题，因为这些域上的任何横向网站脚本（XSS）漏洞都可用于绕过限制。

XSS是Web上最常见类型的漏洞之一，WebEx.com具有超过500个定义的子域。在这些网站上存在多个XSS缺陷的机会很高，实际上，Ormandy发现了一个并证明了初始补丁的旁路。

思科在WebEx扩展版本中添加了进一步的限制，该版本的出现似乎阻止了所有已知的旁路方法。

“看起来他们正确处理Mac和Windows，还在GPCInitCall / GPCExitCall / Etc上添加了一些验证，以便函数必须匹配Regex，”Ormandy说。“这看起来像一个巨大的改善。”

Ormandy补充说，他当前知道任何击败新补丁的方式，所以用户应该尽快升级到最新版本。

单独的Chrome WebEx扩展有大约2000万活跃的用户，因此攻击的风险很高，特别是因为这种漏洞的细节已经公开了几天。IE和安装扩展的Firefox用户应该禁用它，直到为这些浏览器发布固定版本。