De code van de Chrome-extensie bevatte een ‘magische URL’, die gebruikt kon worden om een computer over te nemen, zo ontdekte Google-onderzoeker Tavis Ormandy.
Hij bouwde een webpagina die de calculator op Windows-pc’s opende als hij werd bezocht door gebruikers met de WebEx-plugin. Maar kwaadwillenden hadden het lek ook kunnen gebruiken om schadelijke software te installeren.
Voor zo ver bekend is dat niet gebeurd. De WebEx-plugin heeft naar schatting 20 miljoen gebruikers die vermoedelijk een aantrekkelijk doelwit zouden vormen voor cybercriminelen, omdat de software vooral zakelijk wordt gebruikt.
Update
Ormandy meldde de bug zaterdag bij Cisco, waarna maandag een update verscheen die het probleem grotendeels verhielp. Volgens Ormandy is de bug echter niet geheel verdwenen en kan het lek mogelijk toch nog worden misbruikt.
Als nu wordt geprobeerd om code uit te voeren via de WebEx-plugin, wordt een waarschuwing getoond. Als gebruikers vervolgens op ‘OK’ klikken, lopen ze alsnog risico. Beveiligingsonderzoeker Filippo Valsorda van CloudFlare noemt de bescherming in de update daarom nog altijd “vrij zwak”.