Untuk yang kedua kalinya di tahun ini, kerentanan yang sangat kritis telah ditemukan dalam ekstensi browser Cisco WebEx untuk Chrome dan Firefox, yang memungkinkan penyerang untuk mengeksekusi kode berbahaya dari komputer korban secara remote.
Cisco WebEx adalah alat komunikasi populer untuk acara online, termasuk rapat, konferensi web dan konferensi video yang membantu pengguna terhubung dan berkolaborasi dengan rekan kerja di seluruh dunia. Ekstensi ini memiliki sekitar 20 juta pengguna aktif.
Ditemukan oleh Tavis Ormandy dari Google Project Zero dan Cris Neckar dari Divergent Security, kerentanan remote code execution ini (CVE-2017-6753) disebabkan oleh kerusakan pada ekstensi browser WebEx.
Untuk mengeksploitasi kerentanan tersebut, yang penyerang perlu lakukan adalah menipu korban untuk mengunjungi halaman web berisi kode berbahaya yang dibuat khusus melalui browser dengan ekstensi yang terpengaruh terpasang.
Eksploitasi yang berhasil terhadap kerentanan ini dapat mengakibatkan penyerang mengeksekusi kode arbitrary dengan hak istimewa dari browser yang terpengaruh dan mendapatkan kontrol terhadap sistem yang terpengaruh.
“Saya melihat beberapa masalah dengan cara kerja sanitasi, dan telah menghasilkan remote code execution untuk menunjukkannya,” kata Ormandy. “Ekstensi ini memiliki lebih dari 20 juta pengguna Chrome yang aktif, FireFox dan peramban lainnya juga akan terpengaruh.”
Cisco telah memperbaiki kerentanan tersebut dan merilis pembaruan “Cisco WebEx Extension 1.0.12” untuk browser Chrome dan Firefox yang membahas masalah ini, meskipun “tidak ada solusi yang mengatasi kerentanan ini.”
“Kerentanan ini mempengaruhi ekstensi browser untuk Cisco WebEx Meetings Server, Cisco WebEx Center (Pusat Pertemuan, Pusat Acara, Pusat Pelatihan, dan Pusat Dukungan), dan Cisco WebEx Meeting saat mereka menjalankan Microsoft Windows,” Cisco mengkonfirmasi dalam sebuah advisory yang dirilis hari ini.
Download Cisco WebEx Extension 1.0.12
Secara umum, sangat disarankan untuk menjalankan semua perangkat lunak sebagai pengguna yang tidak istimewa dalam upaya mengurangi dampak serangan yang berhasil.
Untungnya, Apple Safari, Microsoft Internet Explorer dan Microsoft Edge tidak terpengaruh oleh kerentanan ini.
Alat Cisco WebEx Productivity, ekstensi browser Cisco WebEx untuk Mac atau Linux, dan Cisco WebEx di Microsoft Edge atau Internet Explorer tidak terpengaruh oleh kerentanan tersebut, Cisco mengkonfirmasi.
Kerentanan remote code execution di ekstensi Cisco WebEx telah ditemukan kedua kalinya di tahun ini.
Ormandy juga mengingatkan raksasa jaringan tersebut terhadap kerentanan RCE di ekstensi browser WebEx awal tahun ini, yang bahkan menyebabkan Google dan Mozilla menghentikan sementara add-on tersebut dari tokonya.
