思科WebExChrome扩充程式遭爆有“神奇字串”，让PC门户洞开

Google研究人员Tavis Ormandy周二揭露思科知名的WebEx Chrome扩充程式含有重大安全漏洞，能使骇客透过网站对用户PC执行任意程式码攻击。 

研究人员发现 ，1.0.3版以前的WebEx Chrome扩充程式中可执行任何包含＂cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html＂字串的URL。这个字串可轻易在扩充程式的公开宣言中找到。由于WebEx Chrome扩充程式使用的是Native Messaging API，任何攻击者只要在任何恶意网址或线上代管的档案网址中加入这个“神奇字串”，就能借由远端启用WebEx而在用户PC上执行恶意程式码。 

研究人员并指出，这个字串在iFrame中也能作用，因此使用者不需任何动作，只要造访恶意网站就够了。 

思科的WebEx是很受欢迎的企业网页版视讯会议软件，WebEx扩充程式经常用户数超过2000万。 

思科已经在周二释出 1.0.5版WebEx Chrome扩充程式以解决这个问题。研究人员也呼吁企业用户尽速升级。