Abo
  • Services:

Cisco: Noch immer Sicherheitslücken in Webex

An vier verschiedenen Punkten soll ein Angreifer immer noch Schadcode über Ciscos Konferenzsoftware Webex ausführen können. Google-Mitarbeiter Travis Ormandy spricht von mehr als 20 Millionen betroffenen Nutzern - Cisco arbeitet an einer Lösung.

Artikel veröffentlicht am ,
Webex hat noch immer kritische Sicherheitslücken.
Webex hat noch immer kritische Sicherheitslücken. (Bild: Cisco/Montage: Golem.de)

Der Netzwerkhersteller Cisco hat offenbar noch immer Probleme mit seiner Konferenzsoftware Webex. Gleich vier Sicherheitslücken ermöglichen Angreifern, Schadcode auszuführen. Diese wurden wieder von Travis Ormandy und Cris Neckar von Google Project Zero entdeckt und mit Codebeispielen belegt. Er hatte bereits im Januar 2017 auf Sicherheitslücken in der verbreiteten Software hingewiesen. Mehr als 20 Millionen Nutzer verwendeten sie in Google Chrome, heißt es. Firefox und Microsoft Edge seien höchstwahrscheinlich auch betroffen.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Der Code habe sich mittlerweile zumindest verändert. Das Verhalten des JSON-Parsers wurde angepasst. Cisco scheint demnach dem Problem im Januar nachgegangen zu sein. Das Problem ist laut Ormandy, dass die Bibliothek atgpcext einen JSON-Parser mit eigener Namenskonvention für Eigenschaften verwendet, so dass Chrome und Webex Objekte unterschiedlich interpretieren. Das ermöglicht Angreifern, JSON-Objekte, die böswilligen Javascript-Code enthalten, in das System einzuschleusen.

Ormandy gibt ein Beispiel an: Das Objekt "object={"foo":1, "foo\0":2}" sieht Chrome mit dem Ergebnis 1, die atgpcext-Bibliothek nimmt den zweiten Parameter und sieht eine 2.

Ein zweites Problem sieht Ormandy in der GPCscript-Verifikation in Webex. Diese ist unvollständig und ermöglicht daher Calls von beliebigen exportierten Routinen aus beliebigen Bibliotheken. Der Call "_wsystem(calc)=WebEx_Exploit;" komme durch die Funktion, die so etwas eigentlich filtern solle, meint Ormandy. Außerdem können Parameter in einigen erlaubten Routinen mit Schadcode übergeben werden.

Cisco verteilt bereits Updates

Diese Fehler allein seien bereits so schwerwiegend, dass wie im Januar beliebiger Schadcode ausgeführt werden kann. Ormandy bezeichnet sämtliche Fixes jedoch als sinnlos, da es einen weiteren schwerwiegenden Fehler gibt. Das System soll sich einfach auf eine ältere Version zurückrollen lassen, da deren alte Signaturen noch immer gültig sind.

In einer Antwort auf den Post meldete sich Cisco zu Wort. Das Unternehmen bedankte sich für den detaillierten Report und teilte mit, es arbeite an einer Lösung des Problems. Ab dem 17. Juli sollen Updates für Webex verteilt werden.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Badevil 19. Jul 2017

WebEx ist eine gute Sache, es funktioniert unabhängig der Plattform (Win/Linux/Mac) und...


Folgen Sie uns
       


Nubia Red Magic Mars - Hands on (CES 2019)

Das Red Magic Mars von Nubia ist ein Gaming-Smartphone mit guter Hardware - und einem ziemlich guten Preis.

Nubia Red Magic Mars - Hands on (CES 2019) Video aufrufen
Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Schwerlastverkehr: Oberleitung - aber richtig!
Schwerlastverkehr
Oberleitung - aber richtig!

Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
Ein IMHO von Sebastian Grüner

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    •  /