Die WebEx-Browsererweiterung, die Videokonferenzen möglich macht, leidet an einem kritischen Leck. Wie Cisco mitteilt, sind die Windows-Versionen von Google Chrome und Mozilla Firefox betroffen. Ein Angreifer kann über CVE-2017-6753 remote Schadcode einschleusen und ausführen.
“Eine Anfälligkeit in den Cisco-WebEx-Browsererweiterungen für Google Chrome und Mozilla Firefox könnte es einem nicht authentifizierten Angreifer erlauben, beliebigen Code mit den Rechten des betroffenen Browsers auf einem betroffenen System auszuführen”, so das Advisory. Für einen erfolgreichen Angriff müsse lediglich eine präparierte Website aufgerufen werden.
Cisco stuft das Leck mit dem Common Vulnerability Scoring System mit 9,6 von 10 möglichen Punkten ein und spricht von einem “Designfehler”, ohne weitere Details zu nennen.
Betroffen davon sind der Cisco WebEx Meetings Server, Cisco WebEx Centers inklusive Meeting Center, Event Center, Training Center und Support Center sowie Cisco WebEx Meetings. Cisco betont, das weder die WebEx-Erweiterungen unter Linux und Mac OS X noch die Erweiterungen für Microsoft Edge und Internet Explorer fehlerhaft sind.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Nutzer, die die Version 1.0.12 oder früher der Erweiterung für Chrome und Firefox einsetzen, sollten auf die aktuelle Version umsteigen, die seit 12. Juli in Mozillas Add-on-Store und seit 13. Juli im Chrome Store erhältlich ist.
Entdeckt wurde der Bug von Tavis Ormandy, der für Googles Project Zero arbeitet, und Chris Neckar von Divergent Security, der früher dem Chrome Security Team angehörte. Schon Anfang des Jahres hatte Ormandy zwei Sicherheitslücken in den WebEx-Erweiterungen gefunden und an Google gemeldet. Auch sie erlaubten das Einschleusen und Ausführen von Schadcode.
WebEx wird häufig von Unternehmen als günstige Videokonferenzlösung eingesetzt. Ormandy weist darauf hin, dass allein die WebEx-Erweiterung für Chrome 20 Millionen aktive Nutzer hat. Hinzu kommen rund 731.000 Firefox-Nutzer.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.
