Cisco: Sicherheitsupdates für mehrere Produkte veröffentlicht
Der Netzwerkausrüster hat Schwachstellen mit High- und Medium-Einstufung unter anderem aus dem AnyConnect Secure Mobility Client für Windows beseitigt.
Der US-Netzwerkausrüster Cisco hat Sicherheitsupdates veröffentlicht. Sie beseitigen eine Schwachstelle mit "High"-Einstufung aus dem AnyConnect Secure Mobility Client für Windows sowie je eine weitere ("Medium") aus Webex Meetings, aus der Webex Meetings Desktop-App und den Productivity Tools für Windows sowie aus dem Betriebssystem Cisco StarOS.
Mittels der High-Schwachstelle CVE-2021-1366 im Mobility Client vor Version 4.9.05042 könnte ein lokaler Angreifer beliebigen Programmcode mit System-Privilegien auf verwundbaren Systemen ausführen. Der Exploit funktioniert über das Versenden einer speziell präparierten IPC-Nachricht (Inter Process Communication) an den Client. Er setzt allerdings gültige Zugangsdaten für das jeweilige Windows-System voraus und funktioniert zudem nur dann, wenn das VPN Posture (HostScan)-Modul auf dem Client installiert ist.
Weitere Informationen zu dieser und den Medium-Schwachstellen sowie zu den jeweils verfügbaren Updates sind den Advisories zu entnehmen:
- CVE-2021-1366: AnyConnect Secure Mobility Client for Windows
- CVE-2021-1351: Webex Meetings Cross-Site-Scripting
- CVE-2021-1372: Webex Meetings Desktop App / Webex Productivity Tools
- CVE-2021-1378: Cisco StarOS Denial of Service Vulnerability
(ovw)