Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Submitter: Rafe

Cisco heeft een patch uitgebracht voor zijn WebEx-extensie voor de Chrome-browser. Deze dicht een lek dat het uitvoeren van willekeurige code mogelijk maakte. De kwetsbaarheid werd ontdekt door een Google-onderzoeker van het Project Zero-beveiligingsteam.

De onderzoeker, Tavis Ormandy, schrijft dat de extensie populair is met ongeveer twintig miljoen gebruikers. Het lek is daarnaast vrij eenvoudig te gebruiken, omdat een aanvaller alleen gebruik hoeft te maken van een 'magic pattern' om een WebEx-sessie te starten of willekeurige code uit te voeren. Volgens Ormandy kan dit patroon opgenomen zijn in een iframe, waardoor het slachtoffer niet op de hoogte is dat er iets gebeurt.

Cisco heeft inmiddels een patch uitgebracht in versie 1.0.3 van de extensie. Ormandy merkt op dat het bedrijf snel heeft gereageerd, omdat hij het lek in het weekend meldde. In een van zijn opmerkingen over de patch schrijft Ormandy dat hij 'ervan uitgaat dat het lek is opgelost'. Andere deelnemers aan de conversatie zijn sceptisch en zeggen dat Cisco het gebruik van de 'magische url' alleen beperkt heeft tot het domein webex.com. Hoewel dat het gebruik van de kwetsbaarheid moeilijker maakt, is het door middel van cross-site scripting nog steeds mogelijk om deze te misbruiken, zoals Ormandy zelf ook al aangeeft.

Bovendien toont de extensie buiten dat domein alleen een waarschuwing, die na het wegklikken ervan alsnog het uitvoeren van code mogelijk maakt. De WebEx-extensie maakt het mogelijk om samen te werken, bijvoorbeeld door een videogesprek op te starten. De plug-in richt zich op zakelijke gebruikers. Filippo Valsorda, beveiligingsonderzoeker bij Cloudflare, heeft een blogpost aan de kwetsbaarheid gewijd, waarin hij gebruikers beveiligingstips geeft.

Ormandy ontdekt vaker lekken in software van andere bedrijven, met name Chrome-extensies. Zijn meest recente ontdekking was een lek in een automatisch geïnstalleerde Adobe-extensie.

webex-lek demo  Screenshot van de werking van het lek van Ormandy

Moderatie-faq Wijzig weergave

Reacties (18)

Hierom ben ik een voorstander van click to play, waarbij het betreffende elementoppervlak zichtbaar moet zijn voor de gebruiker om erop te klikken. Als het element verborgen is, dan kan de gebruiker er niet op klikken en wordt het niet uitgevoerd. Vervolgens kan de gebruiker altijd nog een whitelist aanmaken voor veelbezochte sites waarop deze extensie gebruikt wordt, zodat click to play alleen voor nieuwe/onbekende sites gebruikt wordt.

Eigenlijk ben ik helemaal geen voorstander van het gebruik van extensies voor dit soort zaken als dat niet strikt noodzakelijk is. HTML5 neemt veel van de noodzaak weg.

De WebEx extensie is overigens 'plots' verdwenen van de site van Firefox. De pagina is nog wel te zien in Google Cache.

[edit]
Hetzelfde voor de Chrome Store. Niet meer in de Store, wel (deels) in Google Cache.

Voor zowel Firefox als Chrome kreeg de extensie slechte reviews (gemiddelde van 2,5/5). Misschien is het verstandig om het product uit roulatie te nemen en een (web applicatie) alternatief te verzinnen.

[edit2]
Hij is weer terug in de Chrome Store.

[Reactie gewijzigd door The Zep Man op 24 januari 2017 12:46]

Ik denk dat hij verwijdert is omdat het lek buitengewoon ernstig, en Cisco het probleem niet echt gepatcht heeft. Ik verwacht dat hij wel weer terug zal komen.

[Reactie gewijzigd door NotCYF op 24 januari 2017 09:03]

Firefox extensie is verwijderd, zie: https://bugs.chromium.org...issues/detail?id=1096#c13

Bij Firefox zijn ze niet gecharmeerd van de fix.

[Reactie gewijzigd door P1nGu1n op 24 januari 2017 10:11]

Geheel mee eens. Dat is nu toch ook standaard in Chrome? Of geldt dat alleen voor Flash? Ik moet toegeven dat ik Flash wel automatisch afspeel op Youtube, maar met Request Policy and Noscript ben ik volgens mij goed beveiligd tegen XSS e.d.
Ormandy merkt op dat het bedrijf snel heeft gereageerd, omdat hij het lek in het weekend meldde.
Waarom in het weekend melden en na het weekend openbaar gaan? Een paar dagen respijt had geen kwaad gedaan. Gelukkig was Cisco er dit keer snel bij.

Al is het lek nog niet 100% dicht en mogen er nog wel meer patches komen. Het belangrijkste van de patch is dat de expoit niet meer werkt zonder extra wat extra xss werk.
Ormandy heeft een trackrecord van het aan zijn laars lappen van responsible disclosure afspraken als het andere dan google software betreft.
Het is een briljante gaten zoeker met kennelijk een duidelijke opdracht van zijn werkgever.
Omdat Cisco had gemeld dat ze het gepatched hebben? ;)
Bij responsible disclosure release je de details nadat het gepatched is of na x tijd verstreken is en de ontwikkelaar nog steeds niets gedaan heeft.
> Bovendien toont de extensie buiten dat domein alleen een waarschuwing, die na het wegklikken ervan alsnog het uitvoeren van code mogelijk maakt

Het is dus helemaal niet opgelost en het probleem wordt gewoon lekker bij de gebruiker gedumpt...
Tavis Ormandy is een held. Een genoegen om hem te volgen via Twitter. Wat hij allemaal ontdekt is ongelooflijk.
Ik vertrouw Cisco niet zo goed, omdat het vaak voorkomt dat Amerikaanse bedrijven (dus ook Cisco), lak hebben aan privcay, en ten tweede omdat ze banden zouden hebben met de NSA. Dit artikel is wel al van een tijdje terug, maar als bedrijf beschadig je dan wel het vertrouwen van de consument: http://www.infoworld.com/...rs-in-cisco-products.html. Natuurlijk zijn niet alle Amerikaanse bedrijven privacyschendend bezig, maar het zijn er wel veel.

Misschien dat dat ook verklaart waarom Cisco het patch gedeeltelijk heeft gedicht, en het ook op andere domeinen werkt met behulp van cross-site-scripting (zie het Tweakers artikel).

[Reactie gewijzigd door AnonymousWP op 24 januari 2017 15:16]

Het feit dat een bedrijf Amerikaans is is tegenwoordig reden om het niet te vertrouwen? Tjonge... :?

Het artikel over de NSA heb je niet gelezen, of niet begrepen. Er is geen bewijs dat Cisco samenwerkte met de NSA, maar "The NSA routinely receives -- or intercepts -- routers, servers, and other computer network devices being exported from the U.S. before they are delivered to the international customers,". Daarmee is allerminst bewezen dat Cisco met de NSA samenwerkte: het kan dus ook zijn dat deze backdoors door de NSA werden geplaatst doordat ze apparatuur even "leenden" voor ze naar de klanten doorgestuurd werden.
Sterker nog: het wordt in hetzelfde artikel zelfs ontkend door Cisco...

Enige scepsis is goed. Maar je kan het ook overdrijven natuurlijk :)
Misschien kom ik iets te erg als kort door de bocht over. Is niet m'n bedoeling. Dat het een Amerikaans bedrijf is, maakt het natuurlijk wel ietsjes erger. Amerikaanse bedrijven zijn namelijk nou eenmaal berucht wat betreft het schijt hebben aan privacy. Niet alle natuurlijk, maar wel veel (en vooral grote bedrijven).

Dat de NSA een backdoor heeft ingebouwd, kan natuurlijk ook. Maar goed, Cisco kan natuurlijk ook doen alsof z'n neus bloedt. Er is ook geen bewijs dat Cisco er niks mee te maken heeft.
Heb je het artikel wel gelezen? Er staat letterlijk "intercepted without Cisco's knowledge"...

Lekker populair FUD aan het verspreiden?
Ik heb het Tweakers-artikel gelezen, niet de blog (geen tijd voor). Dus we moeten maar geloven dat Cisco van niets weet?
Je insinueert vanalles, maar de bronnen die je linkt lees je zelf niet eens. Maar je mag uiteraard geloven wat je wilt.

[Reactie gewijzigd door JackBol op 24 januari 2017 12:04]

Foutje, mag weg.

[Reactie gewijzigd door CMG op 24 januari 2017 19:35]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*