2017-0143: Cisco WebEx Browser Extension: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-01-25 12:32)

Neues Advisory

Version 2 (2017-01-26 10:48)

Cisco aktualisiert sein Security Advisory cisco-sa-20170124-webex. Darin wird die Erklärung der Schwachstelle verbessert und darauf hingewiesen, dass die Version 1.0.5 des Cisco WebEx Plugin for Chrome die Schwachstelle nicht vollständig behoben hat und neue Updates zur Behebung der Schwachstelle sich derzeit für alle betroffenen Browser in Entwicklung befinden. Es stehen weiterhin keine Workarounds zur Verfügung.

Version 3 (2017-01-27 10:45)

Cisco aktualisiert sein Security Advisory cisco-sa-20170124-webex erneut, um darüber zu informieren, dass Version 1.0.7 der Cisco WebEx Extension for Chrome nun als Sicherheitsupdate zur Behebung der Schwachstelle über den Google Chrome Web Store verfügbar ist.

Version 4 (2017-01-31 12:06)

Cisco hat sein Security Advisory cisco-sa-20170124-webex mehrfach aktualisiert und informiert nun abschließend über die fehlerbereinigten Cisco WebEx Browser Extension Versionen: Version 1.0.7 auf Google Chrome, Version 106 des ActiveTouch General Plugin Containers auf Mozilla Firefox und Version 10031.6.2017.0126 des GpcContainer Class ActiveX Controls auf Internet Explorer. In diesem Zusammenhang stellt Cisco detaillierte Anleitungen zur Identifikation der jeweils installierten Plugin-Version zur Verfügung. Weiterhin informiert Cisco über die Verwundbarkeit kundenseitiger Cisco WebEx Meetings Server Installationen und stellt Sicherheitsupdates für Cisco WebEx Meeting Center, Cisco WebEx Event Center, Cisco WebEx Training Center, Cisco WebEx Support Center, Cisco WebEx Meetings Server und Cisco WebEx Meetings bereit. Cisco weist darauf hin, dass jeweils alle Clients eines Cisco WebEx Produktes aktualisiert werden müssen, um Kompatibilität mit der Serverinstallation sicherzustellen. Zudem sollten Kunden von Cisco WebEx Meetings Server Version 2.0 zunächst auf Cisco WebEx Meetings Server 2.5 oder höhere migrieren. Für diese werden die Sicherheitsupdates WebEx Meetings Server 2.5MR6 Patch 4, WebEx Meetings Server 2.6MR3 Patch 2 und WebEx Meetings Server 2.7MR2 Patch 1 zur Verfügung gestellt.

Version 5 (2017-02-06 11:14)

Cisco hat sein Security Advisory cisco-sa-20170124-webex nochmals betreffend der fehlerbereinigten Cisco WebEx Browser Extension Versionen für Microsoft Internet Explorer (GpcContainer Class ActiveX Controls) aktualisiert. In diesem Zusammenhang stellt Cisco detaillierte Anleitungen zur Identifikation der jeweils installierten Plugin-Version zur Verfügung.

Version 6 (2019-03-29 11:33)

Cisco gibt in Version 1.10 seines Security Advisories cisco-sa-20170124-webex bekannt, dass das Cisco Product Security Incident Response Team (PSIRT) darüber informiert wurde, dass die Schwachstelle weiterhin in limitiertem Umfang ausgenutzt wird.

Betroffene Software

Server

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann durch Ausnutzen der Schwachstelle beliebigen Programmcode auf einem betroffenen System zur Ausführung bringen, wenn er einen Benutzer zu dem Besuch einer schädlich präparierten Webseite verleiten kann, wodurch weitere Angriffe möglich werden.

Aufgrund des hohen Gefährdungspotenzials dieser Schwachstelle hatte das Mozilla-Team das betroffene WebEx-Add-on für Firefox anscheinend auch bereits kurz nach deren Bekanntwerden vorsichtshalber global gesperrt (siehe dazu Heise Security Artikel vom 24.01.2017).

Cisco bestätigt die Schwachstelle für die Cisco WebEx Meetings (Meeting Center) Versionen T29, T30, T31, 2.6 Base und 2.7 Base sowie den Cisco WebEx Meetings Server Version T29_orion_merge und Orion1.1.2.patch und erklärt, dass erste Sicherheitsupdates zur Verfügung stehen.

Der Status der Sicherheitsmeldung wird von Cisco als 'interim' klassifiziert, es ist daher davon auszugehen, dass zukünftig noch weitere Informationen bezüglich dieser kritischen Schwachstelle von Cisco bereitgestellt werden.

Schwachstellen:

CVE-2017-3823

Schwachstelle in Cisco WebEx Browser Extension ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.