/ Security / Kritische Lücke in WebEx: Cisco stellt offensichtlich finale Sicherheitsupdates bereit

Kritische Lücke in WebEx: Cisco stellt offensichtlich finale Sicherheitsupdates bereit

Moritz Rosenfeld on January 31, 2017 - 3:45 am in Security

Nach mehreren vermeintlich abgesicherten Version von WebEx hat Cisco nun eigenen Angaben zufolge vollwertige Sicherheitsupdates veröffentlicht. Einige Unklarheiten bleiben aber.

Erstmals nennt Cisco die verwundbaren Add-on-Versionen der Web-Conferencing-Software WebEx und hat die kritische Sicherheitslücke nach mehreren Anläufen eigenen Angaben zufolge nun geschlossen. Das geht aus der aktualisierten Sicherheitswarnung hervor.

Patch in progress

Cisco hat die Lücke tagelang nicht in den Griff bekommen und ab Version 1.0.3 nur halbgare Sicherheitsupdates veröffentlicht, die die Schwachstelle nicht komplett geschlossen haben.

Chrome-Nutzer sollten die WebEx-Ausgabe 1.0.7 installieren – alle vorigen Versionen sind Cisco zufolge verwundbar. Im Chrome Web Store findet sich bereits die Version 1.0.8. Wer WebEx mit Firefox nutzt, sollte sicherstellen, dass Version 106 zum Einsatz kommt – auch hier sind alle vorigen Ausgaben angreifbar. Auf Mozillas Add-on-Plattform fand sich in einer kurzen Stichprobe aber noch die Cisco zufolge verwundbare Version 1.0.4. Beim Internet Explorer sind alle WebEx-Ausgaben vor 10031.6.2017.0127 bedroht.

[UPDATE] Der Entdecker der Lücke Tavis Ormandy lobt die Reaktionszeit von Cisco und bestätigt, dass die Sicherheitsupdates die Lücke geschlossen haben: sein Exploit funktioniert nicht mehr. [/UPDATE]

Remote Code Execution

Wer eine verwundbare Version von WebEx mit einem der genannten Webbrowser unter Windows einsetzt, kann sich durch den alleinigen Besuch einer Webseite Schadcode einfangen. Angreifer könnten so etwa vom Nutzer unbemerkt Spionage-Software auf Computer schmuggeln. Es sind ausschließlich Windows-Nutzer bedroht. Unter Linux und macOS klafft die Lücke nicht im WebEx-Add-on.

Ormandy machte vergangene Woche auf die kritische Lücke aufmerksam. Verwundbare Versionen von WebEx sind für unzählige Nutzer ein Sicherheitsrisiko; allein die Chrome-Erweiterung weist rund 20 Millionen Installationen auf.

  • WebEx: Böses Sicherheitsloch in Ciscos Web-Conferencing

[UPDATE, 30.01.2017 16:50 Uhr]

Statement von Ormandy zur Reaktionszeit von Cisco und Qualität des Sicherheitsupdates im Fließtext eingefügt. In der vorigen Version der Meldung stand, dass Ormandy sich noch nicht zu den Sicherheitsupdates geäußert hat. (des)

Read more on: Source

Comments are disabled