Cisco : une vulnérabilité critique est découverte sur l'extension WebEx pour Chrome,
et permet d'exécuter du code malveillant à distance

Une vulnérabilité critique a récemment été découverte sur l'extension WebEx de Cisco dédiée au navigateur Chrome. La découverte a été faite par un chercheur en sécurité de Google qui porte le nom de Tavis Ormandy. Selon ce dernier qui est membre du Project Zero de Google, la faille nouvellement détectée expose les ordinateurs à d'éventuelles attaques, d'autant plus qu'elle permet à des pirates d'exécuter à distance des codes malveillants. Tavis Ormandy affirme que la faille est très sérieuse, car le simple fait de visiter un site via le navigateur Chrome et l'extension WebEx installée suffit pour qu'un attaquant passe à l'action via l'exécution de code arbitraire à distance.

D'après le chercheur en sécurité, l'exploitation de la faille n'est pas très compliquée, il suffit juste qu'une séquence « magique » de caractères soit présente sur l'URL du site visité pour que l'attaque puisse se faire. En effet, c'est cette séquence de caractères qui se présente comme suit « cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html » qui permet de démarrer à distance une visioconférence, mais cela n'est possible que si l'extension WebEx est installée. Les hackers quant à eux vont utiliser cette suite de caractères magique pour exécuter du code malveillant.

D'après les informations recueillies, l'extension WebEx est installée sur environ 20 millions d'ordinateurs dans le monde entier, ce qui fait que la menace doit être prise au sérieux.

Réagissant au rapport de Tavis Ormandy, Cisco a sorti de nouvelles versions de son extension notamment WebEx 1.0.3 et WebEx 1.0.5. La mise à jour des extensions sur le navigateur Chrome est automatique, ainsi tous les utilisateurs de l'outil sont invités à s'assurer qu'ils disposent de la dernière version de WebEx. Toutefois, la faille n'est pas encore résolue et Cisco affirme que ses développeurs sont en train de travailler sur une prochaine mise à jour de l'extension intégrant le correctif. « Cette vulnérabilité affecte les plugins Cisco WebEx pour Windows et les navigateurs concernés sont Google Chrome, Mozilla Firefox et Internet Explorer pour Windows. », a déclaré Cisco.

Selon Cisco, la vulnérabilité n'a pas encore été identifiée sur d'autres produits. Il précise également que la faille ne concerne pas l'extension Cisco WebEx dédiée aux navigateurs Mac, Linux, et Microsoft Edge de Windows 10. « Il n'y a aucune solution de contournement permettant de faire face à cette vulnérabilité. Toutefois, les administrateurs et les utilisateurs de Microsoft Windows 10 peuvent utiliser le navigateur Microsoft Edge pour rejoindre et participer à des séances WebEx, car Edge n'est pas affecté par cette vulnérabilité. En outre, les administrateurs et les utilisateurs peuvent supprimer tous les logiciels WebEx en utilisant l'outil de suppression de réunions, qui est disponible à partir de https://help.webex.com/docs/DOC-2672. »

Source : Rapport de bogue - Cisco

Et vous ?

Qu'en pensez-vous ?