Kritisches Leck in WebEx – Cisco patcht Plug-in für Browser

Die WebEx-Browsererweiterung, die Videokonferenzen möglich macht, leidet an einem kritischen Leck. Wie Cisco mitteilt, sind die Windows-Versionen von Google Chrome und Mozilla Firefox betroffen. Ein Angreifer kann über CVE-2017-6753 remote Schadcode einschleusen und ausführen.

“Eine Anfälligkeit in den Cisco-WebEx-Browsererweiterungen für Google Chrome und Mozilla Firefox könnte es einem nicht authentifizierten Angreifer erlauben, beliebigen Code mit den Rechten des betroffenen Browsers auf einem betroffenen System auszuführen”, so das Advisory. Für einen erfolgreichen Angriff müsse lediglich eine präparierte Website aufgerufen werden.

Cisco stuft das Leck mit dem Common Vulnerability Scoring System mit 9,6 von 10 möglichen Punkten ein und spricht von einem “Designfehler”, ohne weitere Details zu nennen.

Cisco-Schwachstellen: betroffene Lösungen

Betroffen davon sind der Cisco WebEx Meetings Server, Cisco WebEx Centers inklusive Meeting Center, Event Center, Training Center und Support Center sowie Cisco WebEx Meetings. Cisco betont, das weder die WebEx-Erweiterungen unter Linux und Mac OS X noch die Erweiterungen für Microsoft Edge und Internet Explorer fehlerhaft sind.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Nutzer, die die Version 1.0.12 oder früher der Erweiterung für Chrome und Firefox einsetzen, sollten auf die aktuelle Version umsteigen, die seit 12. Juli in Mozillas Add-on-Store und seit 13. Juli im Chrome Store erhältlich ist.

Entdeckt wurde der Bug von Tavis Ormandy, der für Googles Project Zero arbeitet, und Chris Neckar von Divergent Security, der früher dem Chrome Security Team angehörte. Schon Anfang des Jahres hatte Ormandy zwei Sicherheitslücken in den WebEx-Erweiterungen gefunden und an Google gemeldet. Auch sie erlaubten das Einschleusen und Ausführen von Schadcode.

WebEx wird häufig von Unternehmen als günstige Videokonferenzlösung eingesetzt. Ormandy weist darauf hin, dass allein die WebEx-Erweiterung für Chrome 20 Millionen aktive Nutzer hat. Hinzu kommen rund 731.000 Firefox-Nutzer.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Malware-Ranking Dezember: Ransomware-Gruppe FunkSec nutzt KI

FunkSec setzt auf doppelte Erpressung / CPR zweifelt jedoch an der Glaubwürdigkeit der Gruppe

2 Stunden ago

WE Fashion geht in die Oracle Cloud

Einzelhändler will die Effizienz und Sicherheit der Einzelhandels- und Lagerverwaltung steigern und Omnichannel-Geschäft ausbauen.

2 Stunden ago

Schwarz IT launcht KI-generierte Unternehmensstimme

Für die "Voice of Schwarz IT“ stellten Mitarbeitende ihre Stimmen zur Verfügung. Die KI-Lösung soll…

6 Stunden ago

„AI Defense“ von Cisco sichert KI-Transformation für Unternehmen

End-to-End-Lösung schützt sowohl die Entwicklung als auch den Einsatz von KI-Anwendungen.

1 Tag ago

HYCU: Wachsende Herausforderungen für Backup, Recovery und Cyberresilienz durch KI

Daten-Trends 2025: Geschwindigkeit, mit der neue SaaS-Plattformen und Datenquellen geschützt werden können, muss drastisch erhöht…

1 Tag ago

Von digitalen zu intelligenten Netzen: Breitband-Trends für 2025

Bandbreitenstarke Glasfasertechnologie bietet großes Potenzial für Homeoffice, Campusnetze sowie die industrielle Automatisierung.

2 Tagen ago