Cisco: Sicherheitsupdates für mehrere Produkte veröffentlicht

Alert! 18.02.2021 19:36 Uhr Olivia von Westernhagen

Der Netzwerkausrüster hat Schwachstellen mit High- und Medium-Einstufung unter anderem aus dem AnyConnect Secure Mobility Client für Windows beseitigt.

Der US-Netzwerkausrüster Cisco hat Sicherheitsupdates veröffentlicht. Sie beseitigen eine Schwachstelle mit "High"-Einstufung aus dem AnyConnect Secure Mobility Client für Windows sowie je eine weitere ("Medium") aus Webex Meetings, aus der Webex Meetings Desktop-App und den Productivity Tools für Windows sowie aus dem Betriebssystem Cisco StarOS.

Mittels der High-Schwachstelle CVE-2021-1366 [1] im Mobility Client vor Version 4.9.05042 könnte ein lokaler Angreifer beliebigen Programmcode mit System-Privilegien auf verwundbaren Systemen ausführen. Der Exploit funktioniert über das Versenden einer speziell präparierten IPC-Nachricht (Inter Process Communication) an den Client. Er setzt allerdings gültige Zugangsdaten für das jeweilige Windows-System voraus und funktioniert zudem nur dann, wenn das VPN Posture (HostScan)-Modul auf dem Client installiert ist.

Weitere Informationen zu dieser und den Medium-Schwachstellen sowie zu den jeweils verfügbaren Updates sind den Advisories zu entnehmen:

(ovw [6])

URL dieses Artikels:
https://www.heise.de/-5059398

Links in diesem Artikel:
[1] https://nvd.nist.gov/vuln/detail/CVE-2021-1366
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-hijac-JrcTOQMC
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-xss-Lz6HbGCt
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wda-pt-msh-6LWOcZ5
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-StarOS-DoS-RLLvGFJj
[6] mailto:olivia.von.westernhagen@gmail.com