Web-Conferencing-Software: Cisco stopft erneut kritische Lücke in WebEx
Zum zweiten Mal innerhalb ein paar Monate hat Tavis Ormandy eine kritische Lücke in Ciscos WebEx-Plug-Ins entdeckt. Die Web-Conferencing-Software wird von Millionen von Windows-Anwendern genutzt, deren Systeme darüber gekapert werden können.
(Bild: dpa, Monica M. Davey)
- Fabian A. Scherschel
Cisco hat eine kritische Lücke (CVE-2017-6753) in der Web-Conferencing-Software WebEx gestopft, die missbraucht werden könnte, um Schadcode auf Windows-Systemen auszuführen. Über eine präparierte Webseite können Angreifer die Chrome- und Firefox-Plug-Ins des Dienstes kapern und ihren Angriffscode dann auf dem System mit den Rechten des Browsers ausführen. WebEx ist eine der beliebtesten Web-Conferencing Lösungen und hat Millionen von Nutzern, der Großteil davon verwendet Browser-Plug-Ins unter Windows.
Das Sicherheitsloch betrifft die Chrome- und Firefox-Plug-Ins für Cisco WebEx Meetings Server und die Cisco WebEx Center (WebEx Meeting Center, Training Center, Support Center und Event Center). Die Browser Edge und Internet Explorer sind nicht betroffen. Ebenso sind Mac- und Linux-Nutzer auf der sicheren Seite. Die von der Lücke betroffenen Browser-Plug-Ins sollten bereits automatisch mit Updates versorgt worden sein. Cisco verteilt diese seit dem 12. (Chrome) beziehungsweise dem 13. Juli (Firefox).
Entdeckt wurde die Schwachstelle wieder einmal von Google-Forscher Tavis Ormandy, in Zusammenhang mit einem Kollegen namens Cris Neckar von der Sicherheitsfirma Divergent Security. Ormandy hatte bereits im Januar einen ähnlichen Fehler in WebEx gefunden. (fab)
