พบช่องโหว่ Remote Code Execution ใน Chrome และ Firefox Extension ของ CISCO Webex อีกครั้ง ซึ่งถือเป็นครั้งที่ 2 ของปีนี้ โดยทำให้ Hacker สามารถยึดเครื่องของเหยื่อที่เปิดเว็บไซด์เฉพาะที่ Hacker สร้างขึ้นมาได้

CISCO Webex นั้นเป็นเครื่องมือสำหรับการประชุมและการทำ eLearning Online ที่ได้รับความนิยมมาก โดยมีสมาชิกอยู่ประมาณ 20 ล้านคน ซึ่งการติดต่อผ่าน WebEx จำเป็นต้องใช้ extension ใน browser ในการทำงาน ทีนี้ทาง  1 ใน Project Zero ของ Google ที่ชื่อว่า  Tavis Ormandy และจาก Divergent Security ชื่อว่า Cris Neckar ได้พบช่องโหว่ RCE ดังกล่าว โดยได้รับเลข (CVE-2017-6753)
การจะโจมตีช่องโหว่ดังกล่าว Hacker จำเป็นต้องหลอกให้ user ทำการเปิด web page ที่ใส่โค้ดอันตราย (malicious code) ไว้ผ่าน browser ที่มีการติดตั้ง extension ดังกล่าวไว้
เมื่อโจมตีสำเร็จ Hacker จะสามารถสั่งงานเครื่องเหยื่อได้โดยใช้สิทธิ์ของ user ที่เปิด browser เลย
CISCO ได้ทำการออก version ใหม่แก้ไขช่องโหว่ดังกล่าวแล้ว โดยได้ออกมาเป็น CISCO WebEx Extension 1.0.12 ทั้งใน Chrome และ Firefox Extension ครับ
สามารถ download ได้จาก link ด้านล่างครับ

Source:: TheHackerNews