2017-1231: Cisco WebEx Browser Extension: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2017-07-18 12:55)

Neues Advisory

Version 2 (2017-08-16 12:43)

Cisco aktualisiert seine Sicherheitsmeldung und gibt darin bekannt, dass für den WebEx Meetings Server 2.6 die Version 2.6MR3 Patch 5 als Sicherheitsupdate verfügbar ist. Dennoch empfiehlt Cisco Anwendern der Version 2.6 auf die Version 2.7 oder höher zu aktualisieren.

Betroffene Software

Office
Server

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen einer Schwachstelle in der WebEx-Browsererweiterung für Google Chrome und Mozilla Firefox beliebigen Programmcode mit den Rechten des betroffenen Browsers auf einem System zur Ausführung bringen, wenn er einen Benutzer zum Besuch einer schädlich präparierten Webseite oder zum Klick auf einen präparierten Link verleiten kann. Betroffen ist die WebEx Browser-Erweiterung vor Version 1.0.12, wenn sie auf einem Windows Betriebssystem installiert ist.

Cisco bestätigt die Schwachstelle für Cisco WebEx Meetings in der Version T30 Base (in der zugehörigen Cisco Bug ID werden die Versionen T29, T30, T31 und T32 erwähnt), Cisco WebEx Centers (Meeting Center, Event Center, Training Center und Support Center) in den Versionen T30 Base, T31 Base und T32 Base sowie diverse Cisco WebEx Meetings Server Versionen und erklärt, dass Sicherheitsupdates zur Verfügung stehen. Analog zu diesen Sicherheitsupdates müssen auch die entsprechenden Clients auf den neuesten Stand gebracht werden. Dies sollte automatisch passieren, andernfalls wenden Sie sich bitte an den Cisco Support. Die entsprechenden aktualisierten 'Desktop Application'-Versionen für die jeweiligen Cisco WebEx Business Suites (WBS) sind 32.3.4.5 für WBS32, 31.14.3 und 31.11.11 für WBS31 sowie 30.20.3, 30.9.3 und 30.6.7 für WBS30. Für WBS29 stehen keine Sicherheitsupdates zur Verfügung.

Anwender sollen die Erweiterung ihres jeweiligen Browsers aktualisieren, eine entsprechende Anleitung ist in der referenzierten Sicherheitsmeldung unter dem Abschnitt 'Browser Updates' beschrieben. Zusätzlich soll auch die entsprechende Desktop-Anwendung aktualisiert werden. Anwendern des Internet Explorer wird ebenfalls geraten ihr WebEx-Plugin zu aktualisieren, da es gemeinsame Komponenten mit den Google Chrome- und Mozilla Firefox-Erweiterungen gibt.

Für Cisco WebEx Meetings steht die Version T30.20.3 als Sicherheitsupdate bereit und für den WebEx Meetings Server werden die Versionen 2.7MR2 Patch 9 und 2.8 Patch 3 als nicht verwundbar angegeben. Anwendern der WebEx Meetings Server Version 2.6 wird geraten auf die Version 2.7 oder später zu aktualisieren.

Schwachstellen:

CVE-2017-6753

Schwachstelle in Cisco WebEx Browser-Erweiterung ermöglicht Ausführung beliebigen Programmcodes mit Rechten des Dienstes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.