L’extension WebEx de Cisco contient une vulnérabilité critique. Il est recommandé de la mettre à jour immédiatement, le risque étant sévère. Problème, il semble que la nouvelle version ne bloque pas nécessairement tous les scénarios d’attaque.

Cette faille a été découverte par Tavis Ormandy, de l’initiative Project Zero de Google. Il s’agit du même chercheur en sécurité qui a souligné les problèmes potentiels de l’extension Acrobat d’Adobe. Cette fois cependant, le danger est immédiat et très sérieux, puisque visiter un site spécialement conçu avec Chrome et l’extension installée pourrait permettre une exécution de code arbitraire à distance.

Une séquence « magique » de caractères

La faille, telle que décrite par Ormandy, est particulièrement simple à exploiter. Il suffit en effet qu’un fichier ou une ressource quelconque sur le serveur web contienne la séquence « cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html » dans son adresse. Cette suite de caractères permet en effet de déclencher une conférence à distance si l’extension est présente pour l’interpréter.

Malheureusement, si cette séquence est utilisée pour ouvrir les conférences, elle peut également être utilisée pour exécuter du code.  Et malheureusement, plusieurs points rendent la faille particulièrement sensible. Par exemple, le fait que l’extension soit installée sur environ 20 millions d’ordinateurs dans le monde. En outre, que ces machines soient pour beaucoup dans les entreprises, où les données peuvent être très sensibles. Encore, que la fameuse séquence puisse être placée dans un tag iframe, donc particulièrement discret pour l’internaute.

Vérifier que la dernière version est installée

Deux jours après la publication du rapport par Tavis Ormandy, Cisco diffusait une nouvelle version de son extension WebEx. À l’heure actuelle, elle est en théorie présente sur la grande majorité des installations Chrome qui en étaient équipées. La mise à jour des extensions est en effet, pour rappel, automatique sur le navigateur, comme chez la concurrence d’ailleurs.

Cependant, on peut forcer la vérification de la version en se rendant dans le menu principal, puis « Plus d’outils », « Extensions ». Là, il faudra cocher la case « Mode développeurs » puis cliquer sur « Mettre à jour les extensions maintenant ». La version corrigée doit être au moins estampillée 1.0.3.

La mise à jour ne bloque pas tous les scénarios d'attaque

Cependant, la nouvelle mouture ne résout pas entièrement le problème. Le chercheur a en effet indiqué à Ars Technica que certains scénarios restent possibles, notamment parce que la mise à jour de l’extension permet toujours au site officiel de WebEx (webex.com) d’exploiter la séquence de caractères évoquée précédemment. Si ce site devait un jour être attaqué via une vulnérabilité de type cross-site scripting (XSS), la faille de l’extension pourrait alors être à nouveau exploitée.

En outre, comme le relayent toujours nos confrères, il existe un problème dans la manière dont le service avertit l’utilisateur qu’une conférence va être lancée. Le site visité affiche en effet une alerte lui indiquant que le client de conférence sera lancé s’il confirme l’action. Pour le chercheur en sécurité Filippo Valsorda de Cloudflare, il ne s’agit ni plus ni moins que d’un « cauchemar d’ingénierie sociale ».

Notez qu’en attendant, les cas d’exploitation les plus graves sont bloqués par la mise à jour. Tous les utilisateurs ont intérêt à l’installer aussi rapidement que possible. Actuellement, l'extension en est à la version 1.0.5.