Kritische Lücken im Cisco WebEx-Player

Cisco hat fünf kritische Sicherheitslücken in seinem WebEx-Player für Windows, Mac OS X und Linux geschlossen, die sich zum Einschleusen von Schadcode eignen. Bei vier Lücken handelt es sich um Pufferüberläufe, die beim Verarbeiten von Dateien im WebEx Recording Format (WRF) auftreten, ein weiterer Pufferüberlauf tritt in Zusammenhang mit dem Advanced Recording Format (ARF) auf. Zur Infektion muss das Opfer eine speziell präparierte Webseite oder Datei öffnen. Laut Cisco kann man die Lücken nicht während eines WebEx-Meetings ausnutzen. Verwundbar ist die WebEx Business Suite mit den Client-Versionen 28.0.0, 27.32.1 (und älter), 27.25.10 (und älter), 27.21.10 (und älter), sowie 27.11.26 (und älter).

Der Player wird zum Abspielen aufgezeichneter WebEx-Webmeetings genutzt und automatisch installiert, wenn man eine Seite mit eingebetteten WebEx-Inhalten besucht. Nach Angaben des Herstellers werden die meisten Nutzer automatisch mit der fehlerbereinigten Version versorgt. Darüber hinaus kann man das Update für Windows und Mac OS X auch manuell bei Cisco herunterladen. Wer über beide Wege nicht an das Update kommt, muss den Support kontaktieren. (rei)