In der Browsererweiterung der Videokonferenzlösung von Cisco mit dem Namen WebEx befindet sich laut Cisco eine kritische Sicherheitslücke. Betroffen davon sind die Windows-Versionen von Mozilla Firefox und Google Chrome. Unter Umständen kann ein Angreifer aus der Ferne Schadcode einschleusen und ausführen. Dazu muss das Opfer nur eine speziell präparierte Website öffnen.

In einem Advisory heißt es dazu: „Eine Anfälligkeit in den Cisco-WebEx-Browsererweiterungen für Google Chrome und Mozilla Firefox könnte es einem nicht authentifizierten Angreifer erlauben, beliebigen Code mit den Rechten des betroffenen Browsers auf einem betroffenen System auszuführen“.

Die Schwachstelle wurde mit der Kennung CVE-2017-6753 versehen und von Cisco gemäß dem Common Vulnerability Scoring System mit 9,6 von 10 möglichen Punkten bewertet. Folgende Erweiterungen sind von der Lücke betroffen: Cisco WebEx Meetings Server, Cisco WebEx Centers inklusive Meeting Center, Event Center, Training Center und Support Center sowie Cisco WebEx Meetings.

Laut Cisco sind weder die WebEx-Erweiterungen unter Linux und Mac OS X noch die Erweiterungen für Microsoft Edge und Internet Explorer fehlerhaft. Um die Lücke zu schließen sollten Nutzer, die die Version 1.0.12 oder früher der Erweiterung für Chrome und Firefox einsetzen, auf die aktuelle Version umsteigen.

Der Entdecker des Bugs ist der Google Mitarbeiter Tavis Ormandy, der früher dem Chrome Security Team angehörte und bereits Anfang des Jahres zwei Sicherheitslücken in den WebEx-Erweiterungen fand. Die Videokonferenzlösung WebEx ist in Unternehmen weit verbreitet und hat über 20 Millionen aktive Nutzer

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE