Cisco nennt erstmals die verwundbaren Add-on-Versionen der Web-Conferencing-Software WebEx und hat nach mehreren Anläufen die kritische Sicherheitslücke eigenen Angaben zufolge nun geschlossen. Dies geht aus der aktualisierten Sicherheitswarnung hervor.

Alle Versionen vor 1.0.7 sind Cisco zufolge verwundbar. Chrome-Nutzer sollten deshalb die neuste WebEx-Ausgabe installieren. Im Chrome Web Store ist bereits Version 1.0.8 verfügbar. Firefox-Nutzer sollten sicherstellen, dass WebEx Version 106 zum Einsatz kommt, da auch hier alle vorigen Ausgaben angreifbar sind. Alle WebEx-Ausgaben vor 10031.6.2017.0127 sind beim Internet Explorer bedroht.

Tavis Ormandy, der die Lücke entdeckte, lobte die Reaktionszeit von Cisco und bestätigt, dass die Sicherheitsupdates die Lücke geschlossen haben. Aufgrund der Verbreitung von WebEx sind verwundbare Versionen für unzählige Nutzer ein Sicherheitsrisiko. Die Chrome Erweiterung alleine wurde rund 20 Millionen mal installiert.

Der alleinige Besuch einer Webseite unter Windows reicht, um sich Schaddcode einzufangen. Vorausgesetzt, der Nutzer verwendet einen Browser mit einer verwundbaren WebEx Version. So können Angreifer unbemerkt Spionage-Software auf Computer einschleusen. Unter Linux und macOS lässt sich die Lücke nicht ausnutzen.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE