原标题:思科WebEx Chrome扩充程式遭爆有“神奇字串”,让PC门户洞开
图片来源:Chrome Web Store
Google研究人员Tavis Ormandy周二揭露思科知名的WebEx Chrome扩充程式含有重大安全漏洞,能使骇客透过网站对用户PC执行任意程式码攻击。?
研究人员发现 ,1.0.3版以前的WebEx Chrome扩充程式中可执行任何包含"cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html"字串的URL。这个字串可轻易在扩充程式的公开宣言中找到。由于WebEx Chrome扩充程式使用的是Native Messaging API,任何攻击者只要在任何恶意网址或线上代管的档案网址中加入这个「神奇字串」,就能藉由远端启用WebEx而在用户PC上执行恶意程式码。?
研究人员并指出,这个字串在iFrame中也能作用,因此使用者不需任何动作,只要造访恶意网站就够了。?
思科的WebEx是很受欢迎的企业网页版视讯会议软体,WebEx扩充程式经常用户数超过2000万。?
思科已经在周二释出 1.0.5版WebEx Chrome扩充程式以解决这个问题。研究人员也呼吁企业用户儘速升级。
相关:
Google:今后发表的Chromebook都将支援Android程式
三星已在CES发表首款内建Google Play Store的Chromebook。 图片来源: Samsung Google近日透过Chromium专案揭露,今年及以后发表的所有Chromebook都将支援Android程式。Google去年5月便宣布要把Google Play Store移
图片来源: App Store 美国资安研究人员上周相继揭露,由中国厦门美图网科所打造的知名修图程式《美图秀秀》大量蒐集使用者装置资讯,并传回中国伺服器,从装置型号、位置、MAC位址到读取USB储存空间的内容、变更音讯
Google向Twitter买下行动程式开发者平台Fabric
图片来源: Fabric Google周三(1/18)宣布,将买下Twitter旗下的行动程式开发者平台Fabric,把Fabric纳入Developer Product Group中,与Google既有的Firebase开发者后端服务平台併肩作战,协助开发人员打造更好的行动
Chrome浏览器的Acrobat扩充工具被发现有XSS漏洞
图片来源: Chrome Web Store 奥多比(Adobe)日前释出的Acrobat Reader DC,当时已因未告知使用者会自动在Chrome浏览器上安装扩充套件,以及会从远端蒐集使用者资讯而颇受议论,如今又有安全研究人员发现该扩充套件存在
亚太电信推广物联网,经过3个月试营运,今天宣布与思科Jasper推出“亚太电信行动宽频物联网管理平台”,协助企业推广物联网服务,打造台湾成物联智慧岛。亚太电信指出,不论是运输和物流、智慧零售、车联网或智慧城