WebEx, een populaire Google Chrome-plugin, was tot gisteren zo lek als een mandje. Kwaadwillenden konden zodoende willekeurige code op de computer van het slachtoffer uitvoeren met een zogenaamde ‘magische url’. Het lek is inmiddels gedicht, maar volgens kenners nogal ‘zwakjes’.
Met de ‘magische URL’, die in de code van de plugin van Chrome zat, waren computers die hem hadden draaien eenvoudig over te nemen. Tavis Ormandy, onderzoeker bij Google kwam het lek op het spoor.
Als test bouwde Ormandy webpagina die reageerde op bezoek van gebruikers van de gewraakte plugin. Op de computer van de betreffende bezoeker werd dan de calculator gestart. De tester bewees hiermee wat mogelijk was en dat echte kwaadwillenden nog veel meer hadden kunnen doen.
Afdoende
Ormandy stelt dat de populaire plugin met zeker 20 miljoen, vooral zakelijke gebruikers, nog niet afdoende is gedicht. De Google-onderzoeker deed zaterdag bij Cisco melding van de bug. Maandag verscheen wel een update, maar niet eentje die helemaal afdoende is.
Bezoekers die nu op de pagina van Ormandy terechtkomen krijgen nu eerst een waarschuwing op het scherm. Maar klik je vervolgens op OK, blijft het risico op overname van de pc alsnog bestaan.
Zowel Ormandy als beveiligingsonderzoeker Filippo Valsorda van CloudFlaredringen aan op beter herstel van het lek. Beiden noemen de bescherming van de huidige update zwak.
