Jetzt patchen: Cisco schließt Lücken in mehreren Produkten

Die Desktop-App WebEx Meetings für Windows und das Webinterface mehrerer Cisco-Geräte bieten Einfallstore für Angreifer. Updates stehen bereit.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Cisco

(Bild: dpa, Monica M. Davey)

Lesezeit: 2 Min.

Cisco hat Software-Updates für zwei Sicherheitslücken veröffentlicht. Die erste betrifft das webbasierte Management-Interface mehrerer Geräte und gilt als kritisch ("Critical"). Die zweite steckt in der Windows-Version der Desktop-App Webex Meetings und wird vom Hersteller mit dem Sicherheitsrisiko "High" bewertet. Nutzer sollten die bereitgestellten Updates umgehend installieren.

Die kritische Lücke (CVE-2019-1663) resultiert aus mangelhaften Validierungsmechanismen für HTTP-Requests. Mittels bestimmter Requests könnte sich ein unauthentifizierter, entfernter Angreifer laut Cisco "hohe Privilegien" erschleichen, um wiederum beliebigen Code auszuführen.

Als verwundbar nennt der Hersteller im zugehörigen Sicherheitshinweis alle Management-Interface-Versionen für RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router und RV215W Wireless-N VPN Router. Die gefixten Versionen sind 1.2.2.1 (RV110W), 1.0.3.45 (RV130W) )und 1.3.1.1 (RV215W).

Die WebEx-Lücke (CVE-2019-1674) basiert laut Cisco auf einer unzureichenden Überprüfung der Parameter für den Update-Service der Desktop-App. Ein authentifizierter Angreifer könnte sich mittels Übergabe spezieller Parameters bei dessen Aufruf SYSTEM-Privilegien verschaffen und anschließend beliebigen Programmcode auf dem System ausführen. In der Regel ist lokaler Zugriff notwendig; Cisco weist allerdings darauf hin, dass in einer Active-Directory-Umgebung auch ein Angriff mit den Fernwartungs-Tools von Windows denkbar sei.

Betroffen sind alle Webex Meetings Desktop-App-Versionen vor 33.6.6 sowie alle Webex Productivity-Tools-Versionen ab 32.6.0 bis einschließlich 33.0.6, sofern diese auf einem Windows-System laufen. Cisco gibt an, die Lücken in den Versionen 33.6.6 und 33.9.1 (Desktop-App) beziehungsweise 33.0.7 (Productivity Tools) geschlossen zu haben.

Alle Updates stehen für registrierte Nutzer in Ciscos Software-Center bereit. (ovw)