image

Onderzoekers vinden ernstige lekken in Cisco WebEx

dinsdag 18 juli 2017, 09:30 door Redactie, 8 reacties

Onderzoekers hebben opnieuw ernstige beveiligingslekken in de Cisco WebEx-browseruitbreiding gevonden waardoor kwaadwillende websites systemen in het ergste geval volledig kunnen overnemen. WebEx is een browser-extensie waarmee gebruikers aan video- en webconferenties kunnen deelnemen.

Meer dan 20 miljoen gebruikers van Google Chrome hebben de uitbreiding geïnstalleerd. Onderzoekers Tavis Ormandy van Google en Cris Neckar van securitybedrijf Divergent Security ontdekten problemen in de manier waarop de extensie invoer filtert. Eerder dit jaar ontdekte Ormandy ook al een kwetsbaarheid in de software waardoor het voor een aanvaller mogelijk was om willekeurige code op systemen uit te voeren.

Volgens Cisco wordt het probleem veroorzaakt door een ontwerpfout in de extensie. Alleen het bezoeken van een kwaadaardige website met een kwetsbare versie van de extensie was voldoende om een aanvaller willekeurige code met de rechten van de browser uit te laten voeren. Cisco werd op 6 juli ingelicht en heeft op 12 juli updates uitgebracht voor de Chrome- en Firefox-versies van de extensie. Het probleem is in versie 1.0.12 opgelost.

Reacties (8)
18-07-2017, 11:59 door Anoniem
Zoals altijd, die Tavis kan beter eerst naar Google's eigen software kijken in plaats van blame and shame naar derde partijen. Denk bijvoorbeeld maar aan
Juli: https://www.security.nl/posting/522957/Google+dicht+140+beveiligingslekken+in+Android
Juni: https://www.security.nl/posting/518397/Google+verhelpt+101+beveiligingslekken+in+Android
Mei (118 lekken): https://www.security.nl/posting/513162/Google+dicht+opnieuw+recordaantal+Android-lekken
April https://www.security.nl/posting/506464/Google+dicht+107+beveiligingslekken+in+Android

Het is zo makkelijk van Google om anderen te verwijten dat wat zij zelf nalaten...
18-07-2017, 13:13 door [Account Verwijderd]
[Verwijderd]
18-07-2017, 17:38 door karma4 - Bijgewerkt: 18-07-2017, 17:40
Door Neb Poorten: ....
Wat laat Google na? Al jouw links hebben verhelpen en dichten van lekken in de titel. Welke shame en blame? Google heeft blijkbaar capaciteit over wanneer het om het vinden van beveiligingsproblemen gaat en vindt zelfs problemen in de software van anderen. Die anderen zijn daar normaliter blij mee en verhelpen de problemen tijdig. Zoals in dit geval Cisco.
Als ze zoveel interne testcapaciteit zouden hebben bij Google dan waren al die eigen fouten niet naar buiten gekomen maar intern herkend en voor uitrol asngepakt.
Nu maken ze eigenlijk reclame dat je brakke software mag uitrollen als je ook maar naar anderen kan wijzen.
18-07-2017, 17:42 door karma4
Nogal precair iets dat webex kwetsbaar is. Het wordt vaak gebruikt in leverancier klantrelaties om even remote mee te kijken bij de klanten. Zit je in de spagaat dat je als klant afnemer zoiets moet toestaan omdat de leverancier anders het probleem niet snapt.
18-07-2017, 18:52 door Anoniem
Ik moet karma4 hier eigenlijk wel een beetje bijvallen. Want wat doet Google zelf in de browser met bijvoorbeeld de extensie AP engine codeI?

Google gaat de strijd aan met standaarden, vanwege het belang van de core business en dat bestaat uit Google advertentie-inkomsten.
.
Google code staat gelijk aan spionneercode, Google Chrome extensies hebben beperkingen die gelegen zijn in het feit dat de extensie API het blokkeren van javascript onstabiel doet zijn en zorgt dat inline script niet wordt geblokkeerd.

Dit alles vanwege de Google ad-service tracking code. Deze api engine wordt op termijn ook naar alle andere grote browsers gebracht, dus het codebochtjes afsnijden hebben ze al aardig geleerd. En voorlopig moeten ontwerpers hieraan meedoen.

Daarom kan NoScript op Google Chrome moeilijk uit de voeten en gebruik ik uMatrix en Negotiator als toggle- extensies.

Verhoogt dit de algemene veiligheid van de infrastructuur? Ik meen het niet of je moet checksums en hashes laten berekenen door script blokkers om te kunnen vaststellen welke grappen Google allemaal voor ons in petto heeft en wat er uiteindelijk aan de code verandert.....

Voorbeeldje, zie: htxps://ajax.googleapis.com/ajaz/libs/jquery/1.6.2/jquery.min.js

Uncaught SyntaxError: Unexpected end of JSON input.

Laat hier eens een javascript unpacker op los of kijk hoe veel langer de code loopt dan verwacht, ook een goede indicatie dat er iets niet goed zou kunnen zitten.

De meeste website security onderzoekers en pen-testers nemen deze ontwikkelingen niet eens in overweging en tegengeluiden? Ach, Ik heb er tenminste hier nog niemand over horen klagen. Bewijs te meer dat de website bouwers op hun Apple machientjes zich niet echt met veilig script-coderen bezighouden. Maar ik wilde e.e.a. toch wel hier even kwijt, omdat ik weet dat men er hier wel oog voor heeft of zou moeten hebben althans.

luntrus (vrijwillig website veiligheidsanalist en fouten-jager)
18-07-2017, 19:29 door Anoniem
Door karma4: Als ze zoveel interne testcapaciteit zouden hebben bij Google dan waren al die eigen fouten niet naar buiten gekomen maar intern herkend en voor uitrol asngepakt.
Nu maken ze eigenlijk reclame dat je brakke software mag uitrollen als je ook maar naar anderen kan wijzen.

Amen! Dat is namelijk precies wat hier gebeurd. Security by Obscurity... Heb een heel team om je fouten te verhullen door naar anderen te wijzen in plaats van dit team in te zetten om eigen nieuwe code eerst intern eerst te controleren!
18-07-2017, 21:26 door Anoniem
Dus recept is, doe het op de Google manier en spring door de Google code hoepel.
U krijgt uitvoerbare code als beloning, u hoeft er zelf bijna niets meer voor te doen.
Op de automatische piloot op naar de volgende "bug" die ons allen parten kan gaan spelen.

Ze hebben er zelfs een visuele editor voor bij Google Chrome die blocks in executable code moet omzetten.
Werkt ook in firefox, safari, opera en IE: https://developers.google.com/blockly/

En zo verschijnen er 'getrainde aapjes' op het ontwerp-toneel en niemand vraagt zich meer af:
"Waarom doen we wat we doen zo en niet anders? Je hoeft als Google niets meer te verhullen, want je hebt je 'obscurity' al vooraf ingebouwd.

Anoniem van 19:29 heeft het dus al wel helemaal goed gezien. Nu moeten de anderen hier het nog doorkrijgen en dan kunnen we pas met security als eerste prioriteit gaan ontwerpen. Het zal eens tijd worden,zeg!
Opswat is het al op dit punt met me eens en wil alles

luntrus
19-07-2017, 08:47 door Anoniem
Fabrikanten kijken elkaars product na op kwetsbaarheden. Dat gebeurd gevraagd en ongevraagd. Binnen Cisco is de TALOS groep hiervoor verantwoordelijk. En ook Google heeft een soortgelijke groep hebben.

Indien men wat vindt, wordt de desbetreffende fabrikant ingelicht. Meestal (industrie standaard) heeft deze dan 6 weken om het probleem op te lossen. Daarna wordt, na overleg, de kwetsbaarheid openbaar gemaakt.

Dit openbaar maken is niet om elkaar onder druk te zetten of belachelijk te maken. Het doel is om iedereen te informeren dat ze moeten patchen.

Dus, gewoon business as usual.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.