Ein Angriff über diese Sicherheitslücke kann ein System etwa mit Spionage-Software infizieren. Das passiert völlig unsichtbar für den Nutzer; der muss dazu nicht einmal an einem WebEx-Meeting teilnehmen. Für einen erfolgreichen Angriff muss eine Web-Site nur eine Unterseite mit einem „geheimen“ Dateinamen enthalten. Jede URL, die auf „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ endet, aktiviert die WebEx-Erweiterung. Die ruft dann die Funktion InitControl() der Bibliothek atmccli.dll auf. Für seine Demonstration musste Ormandy lediglich einige Werte passend ändern, um als Beispiel einen Taschenrechner zu starten. Ein echter Angreifer würde statt dessen etwa ein Spionage-Programm nachladen und ausführen.

Ciscos Security-Team hat das akute Problem zumindest deutlich reduziert. Innerhalb von nur drei Tagen veröffentlichten sie eine WebEx-Version 1.0.3, die nur noch auf URLs in den Domains *.webex.com oder *.webex.com.cn anspringt. Doch dieser Fix ist sehr umstritten, lässt er doch das eigentliche Problem weitgehend unberührt.

Wer sich schützen will, sollte die WebEx-Erweiterung des Browsers ganz deinstallieren, bis Cisco dessen Sicherheit grundsätzlich überarbeitet hat. Das Mozilla-Team hat das anscheinend ebenfalls betroffene WebEx-Add-on für Firefox bereits vorsichtshalber global gesperrt.

(Quelle: heise)