2020-1296: Cisco Webex Meetings Desktop App, Cisco Webex Meetings Client: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-06-19 12:26)
- Neues Advisory
- Version 2 (2020-06-25 12:01)
- Cisco hat den Sicherheitshinweis cisco-sa-webex-client-NBmqM9vt betreffs Cisco Webex Meetings Desktop App for Windows aktualisiert und gibt bekannt, dass auch die Version 40.4.12 einen Patch für die Schwachstelle enthält und deren Benutzung diesbezüglich somit kein Risiko darstellt.
- Version 3 (2020-07-09 12:05)
- Cisco hat den Sicherheitshinweis cisco-sa-webex-client-NBmqM9vt aktualisiert und Informationen zu Sicherheitsupdates für Cisco Webex Meetings Server ergänzt. Demnach wurde in den Versionen 3.0 MR3 SecurityPatch 3 und späteren sowie 4.0 MR3 SecurityPatch 2 und späteren die Schwachstelle CVE-2020-3347 behoben.
- Version 4 (2020-08-12 11:29)
- Cisco aktualisiert die Sicherheitsmeldung cisco-sa-webex-client-url-fcmpdfVY, um darüber zu informieren, dass von der Schwachstelle CVE-2020-3263 auch der Cisco Webex Meetings Client betroffen ist. Zur Behebung stehen die Cisco Webex Meetings Client Releases 40.1.0 und nachfolgende Versionen sowie die Lockdown Version 39.5.12 und spätere Versionen zur Verfügung.
- Version 5 (2021-05-06 09:20)
- Cisco informiert darüber, dass CVE-2020-3347 anders als bisher angegeben erst mit Cisco Webex Meetings Desktop App for Windows 41.2 und nachfolgenden Versionen behoben wird.
Betroffene Software
Office
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Je eine Schwachstelle in der Cisco Webex Meetings Desktop App und in der speziellen Edition der App für Mac ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes, wenn er einen Benutzer der Anwendung zum Aufruf einer speziell präparierten URL verleiten kann. Eine weitere Schwachstelle in der speziellen Edition der Anwendung für Windows ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten das Ausspähen von Informationen.
Cisco informiert über die Schwachstellen und gibt verschiedene Versionen der Software als nicht verwundbar an. Die Schwachstelle CVE-2020-3263 betrifft Cisco Webex Meetings Desktop App vor den Versionen 39.5.12 (Lockdown) und 40.1.0. Die Schwachstelle CVE-2020-3342 in Cisco Webex Meetings Desktop App für Mac wird mit Version 39.5.11 behoben. Die Edition für Windows behebt die Schwachstelle CVE-2020-3347 mit den Versionen 39.5.26 (Lockdown) und 40.6.0.
Durch Lockdown-Versionen der Cisco Webex Meetings Desktop App werden automatische Updates unterbunden, beispielsweise um konzernweit identische Versionen der Software einsetzen zu können.
Schwachstellen:
CVE-2020-3263
Schwachstelle in Cisco Webex Meetings Desktop App und Cisco Webex Meetings Client ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-3342
Schwachstelle in Cisco Webex Meetings Desktop App für Mac ermöglicht Ausführen beliebigen Programmcodes mit BenutzerrechtenCVE-2020-3347
Schwachstelle in Cisco Webex Meetings Desktop App für Windows ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.