Urgente: grave vulnerabilità nell’estensione di Cisco WebEx per Chrome
Chiunque utilizzi l’estensione Chrome per il sistema di teleconferenza Cisco WebEx deve urgentemente aggiornarla all’ultima versione. Il ricercatore di sicurezza di Google Tavis Ormandy ha recentemente rivelato una grave vulnerabilità nell’estensione per Chrome che lascia il PC completamente aperto a possibili attacchi.
Nelle versioni dell’estensione precedenti la 1.0.3, alcuni attaccanti potrebbero aggiungere una “stringa magica” a un indirizzo web o file ospitato su un sito. Questo file può anche essere inserito in un iframe, e quindi risultare completamente invisibile all’utente.
Questa stringa di caratteri è in grado di attivare da remoto l’estensione di WebEx nel browser. Una volta attivata l’estensione, l’attaccante può eseguire codice malevolo sul PC attaccato.
Vulnerabilità WebEx: come mettersi al sicuro
Data la gravità della vulnerabilità, è consigliabile per lo meno aggiornare subito l’estensione all’ultima versione, oppure eliminarla del tutto e utilizzare invece un’applicazione dedicata da scaricare ed eseguire ogni volta che si ha bisogno di fare un collegamento WebEx. Questa soluzione è poco pratica, soprattutto per chi fa un uso intenso di questo strumento, ma è l’opzione più sicura in assoluto.
Per verificare il numero di versione dell’esntesione Cisco WebEx, aprite Chrome e nella barra dell’indirizzo digitate chrome://extensions e premete Invio.
Scorrete l’elenco alfabetico fino alla voce dell’estensione Cisco WebEx e verificate che il numero di versione sia uguale o superiore a 1.0.3. Se è così, potete stare relativamente tranquilli.
La versione 1.0.3 in effetti si limita a visualizzare un messaggio popup di conferma quando l’estensione è invocata attraverso la stringa magica, ribaltando sull’utente la scelta se accettare o meno la connessione. Al momento in cui scriviamo, il comportamento della versione attuale (1.0.5) non è stato ancora analizzato.
Il ricercatore di sicurezza di Cloudflare Filippo Valsorda suggerisce di creare un profilo utente di Chrome dedicato all’utilizzo di WebEx, in cui attivare l’estensione, lasciandola invece disattivata sul profilo utilizzato per il normale utilizzo quotidiano. In questo modo si può navigare il web in tutta tranquillità, e passare al profilo WebEx soltanto nel momento in cui si decide consapevolmente di attivare una connessione con un destinatario affidabile.
La scoperta di Ormandy ha suscitato così tanta preoccupazione che Mozilla ha bloccato l’estensione WebEx per Firefox. Attualmente, la 1.0.3 è in fase di revisione e non può ancora essere installata sulle versioni manistream di Firefox 43 e superiori.
Considerando che questa estensione è installata e usata da moltissimi dipendenti anche fuori dal reparto IT, e spesso senza che questo ne sia a conoscenza (solitamente non sono richiesti privilegi amministrativi per l’installazione di estensioni del browser), è consigliabile che IT Manager e staff di supporto IT invitino caldamente tutti i colleghi ad aggiornare l’estensione immediatamente.