Kritisches Leck in WebEx – Cisco patcht Plug-in für Browser

Die WebEx-Browsererweiterung, die Videokonferenzen möglich macht, leidet an einem kritischen Leck. Wie Cisco mitteilt, sind die Windows-Versionen von Google Chrome und Mozilla Firefox betroffen. Ein Angreifer kann über CVE-2017-6753 remote Schadcode einschleusen und ausführen.

“Eine Anfälligkeit in den Cisco-WebEx-Browsererweiterungen für Google Chrome und Mozilla Firefox könnte es einem nicht authentifizierten Angreifer erlauben, beliebigen Code mit den Rechten des betroffenen Browsers auf einem betroffenen System auszuführen”, so das Advisory. Für einen erfolgreichen Angriff müsse lediglich eine präparierte Website aufgerufen werden.

Cisco stuft das Leck mit dem Common Vulnerability Scoring System mit 9,6 von 10 möglichen Punkten ein und spricht von einem “Designfehler”, ohne weitere Details zu nennen.

Cisco-Schwachstellen: betroffene Lösungen

Betroffen davon sind der Cisco WebEx Meetings Server, Cisco WebEx Centers inklusive Meeting Center, Event Center, Training Center und Support Center sowie Cisco WebEx Meetings. Cisco betont, das weder die WebEx-Erweiterungen unter Linux und Mac OS X noch die Erweiterungen für Microsoft Edge und Internet Explorer fehlerhaft sind.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Nutzer, die die Version 1.0.12 oder früher der Erweiterung für Chrome und Firefox einsetzen, sollten auf die aktuelle Version umsteigen, die seit 12. Juli in Mozillas Add-on-Store und seit 13. Juli im Chrome Store erhältlich ist.

Entdeckt wurde der Bug von Tavis Ormandy, der für Googles Project Zero arbeitet, und Chris Neckar von Divergent Security, der früher dem Chrome Security Team angehörte. Schon Anfang des Jahres hatte Ormandy zwei Sicherheitslücken in den WebEx-Erweiterungen gefunden und an Google gemeldet. Auch sie erlaubten das Einschleusen und Ausführen von Schadcode.

WebEx wird häufig von Unternehmen als günstige Videokonferenzlösung eingesetzt. Ormandy weist darauf hin, dass allein die WebEx-Erweiterung für Chrome 20 Millionen aktive Nutzer hat. Hinzu kommen rund 731.000 Firefox-Nutzer.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Podcast: Zero Trust zum Schutz von IT- und OT-Infrastruktur

"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…

4 Tagen ago

Malware April 2024: Aufstieg des Multi-Plattform-Trojaners „Androxgh0st“

Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…

4 Tagen ago

Selbstangriff ist die beste Verteidigung

Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.

5 Tagen ago

Prozessautomatisierung im Distributionslager

Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.

5 Tagen ago

Wie autonome Fahrzeuge durch Quantencomputing sicherer werden können

Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.

6 Tagen ago

Heineken plant Bedarfe mit KI-Lösung von Blue Yonder

Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.

6 Tagen ago