Kritisches Leck in WebEx – Cisco patcht Plug-in für Browser

SicherheitSicherheitsmanagement

Die Windows-Versionen von Chrome und Firefox weisen einen Designfehler auf, der das Einschleusen und Ausführen von Schadcode über den Besuch einer manipulierten Webseite erlaubt. Mehr als 20 Millionen Anwender sind von dem schwerwiegenden Sicherheitsleck betroffen.

Die WebEx-Browsererweiterung, die Videokonferenzen möglich macht, leidet an einem kritischen Leck. Wie Cisco mitteilt, sind die Windows-Versionen von Google Chrome und Mozilla Firefox betroffen. Ein Angreifer kann über CVE-2017-6753 remote Schadcode einschleusen und ausführen.

“Eine Anfälligkeit in den Cisco-WebEx-Browsererweiterungen für Google Chrome und Mozilla Firefox könnte es einem nicht authentifizierten Angreifer erlauben, beliebigen Code mit den Rechten des betroffenen Browsers auf einem betroffenen System auszuführen”, so das Advisory. Für einen erfolgreichen Angriff müsse lediglich eine präparierte Website aufgerufen werden.

Cisco-Webex_

Cisco stuft das Leck mit dem Common Vulnerability Scoring System mit 9,6 von 10 möglichen Punkten ein und spricht von einem “Designfehler”, ohne weitere Details zu nennen.

Cisco-Schwachstellen: betroffene Lösungen

Betroffen davon sind der Cisco WebEx Meetings Server, Cisco WebEx Centers inklusive Meeting Center, Event Center, Training Center und Support Center sowie Cisco WebEx Meetings. Cisco betont, das weder die WebEx-Erweiterungen unter Linux und Mac OS X noch die Erweiterungen für Microsoft Edge und Internet Explorer fehlerhaft sind.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Nutzer, die die Version 1.0.12 oder früher der Erweiterung für Chrome und Firefox einsetzen, sollten auf die aktuelle Version umsteigen, die seit 12. Juli in Mozillas Add-on-Store und seit 13. Juli im Chrome Store erhältlich ist.

Entdeckt wurde der Bug von Tavis Ormandy, der für Googles Project Zero arbeitet, und Chris Neckar von Divergent Security, der früher dem Chrome Security Team angehörte. Schon Anfang des Jahres hatte Ormandy zwei Sicherheitslücken in den WebEx-Erweiterungen gefunden und an Google gemeldet. Auch sie erlaubten das Einschleusen und Ausführen von Schadcode.

WebEx wird häufig von Unternehmen als günstige Videokonferenzlösung eingesetzt. Ormandy weist darauf hin, dass allein die WebEx-Erweiterung für Chrome 20 Millionen aktive Nutzer hat. Hinzu kommen rund 731.000 Firefox-Nutzer. 

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen