Abo
  • Services:

Cisco: Noch immer Sicherheitslücken in Webex

An vier verschiedenen Punkten soll ein Angreifer immer noch Schadcode über Ciscos Konferenzsoftware Webex ausführen können. Google-Mitarbeiter Travis Ormandy spricht von mehr als 20 Millionen betroffenen Nutzern - Cisco arbeitet an einer Lösung.

Artikel veröffentlicht am ,
Webex hat noch immer kritische Sicherheitslücken.
Webex hat noch immer kritische Sicherheitslücken. (Bild: Cisco/Montage: Golem.de)

Der Netzwerkhersteller Cisco hat offenbar noch immer Probleme mit seiner Konferenzsoftware Webex. Gleich vier Sicherheitslücken ermöglichen Angreifern, Schadcode auszuführen. Diese wurden wieder von Travis Ormandy und Cris Neckar von Google Project Zero entdeckt und mit Codebeispielen belegt. Er hatte bereits im Januar 2017 auf Sicherheitslücken in der verbreiteten Software hingewiesen. Mehr als 20 Millionen Nutzer verwendeten sie in Google Chrome, heißt es. Firefox und Microsoft Edge seien höchstwahrscheinlich auch betroffen.

Stellenmarkt
  1. EWE TRADING GmbH, Bremen
  2. Hays AG, Rhein-Main-Gebiet

Der Code habe sich mittlerweile zumindest verändert. Das Verhalten des JSON-Parsers wurde angepasst. Cisco scheint demnach dem Problem im Januar nachgegangen zu sein. Das Problem ist laut Ormandy, dass die Bibliothek atgpcext einen JSON-Parser mit eigener Namenskonvention für Eigenschaften verwendet, so dass Chrome und Webex Objekte unterschiedlich interpretieren. Das ermöglicht Angreifern, JSON-Objekte, die böswilligen Javascript-Code enthalten, in das System einzuschleusen.

Ormandy gibt ein Beispiel an: Das Objekt "object={"foo":1, "foo\0":2}" sieht Chrome mit dem Ergebnis 1, die atgpcext-Bibliothek nimmt den zweiten Parameter und sieht eine 2.

Ein zweites Problem sieht Ormandy in der GPCscript-Verifikation in Webex. Diese ist unvollständig und ermöglicht daher Calls von beliebigen exportierten Routinen aus beliebigen Bibliotheken. Der Call "_wsystem(calc)=WebEx_Exploit;" komme durch die Funktion, die so etwas eigentlich filtern solle, meint Ormandy. Außerdem können Parameter in einigen erlaubten Routinen mit Schadcode übergeben werden.

Cisco verteilt bereits Updates

Diese Fehler allein seien bereits so schwerwiegend, dass wie im Januar beliebiger Schadcode ausgeführt werden kann. Ormandy bezeichnet sämtliche Fixes jedoch als sinnlos, da es einen weiteren schwerwiegenden Fehler gibt. Das System soll sich einfach auf eine ältere Version zurückrollen lassen, da deren alte Signaturen noch immer gültig sind.

In einer Antwort auf den Post meldete sich Cisco zu Wort. Das Unternehmen bedankte sich für den detaillierten Report und teilte mit, es arbeite an einer Lösung des Problems. Ab dem 17. Juli sollen Updates für Webex verteilt werden.



Anzeige
Top-Angebote
  1. 6,49€
  2. 219€ (Vergleichspreis 251€)
  3. 19,89€ inkl. Versand (Vergleichspreis ca. 30€)

Badevil 19. Jul 2017

WebEx ist eine gute Sache, es funktioniert unabhängig der Plattform (Win/Linux/Mac) und...


Folgen Sie uns
       


Leistungsschutzrecht und Uploadfilter - Golem.de Live

Nach der EU-Kommission und den Mitgliedstaaten sprach sich am Mittwoch in Brüssel auch der Rechtsausschuss des Europaparlaments für ein Recht aus, das die digitale Nutzung von Pressepublikation durch Informationsdienste zustimmungspflichtig macht. Ein Uploadfilter, der das Hochladen urheberrechtlich geschützter Inhalte verhindern soll, wurde ebenfalls auf den Weg gebracht. Doch was bedeutet diese Entscheidung am Ende für den Nutzer? Und wer verfolgt eigentlich welche Interessen in der Debatte?

Leistungsschutzrecht und Uploadfilter - Golem.de Live Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

    •  /