Cisco: Noch immer Sicherheitslücken in Webex
An vier verschiedenen Punkten soll ein Angreifer immer noch Schadcode über Ciscos Konferenzsoftware Webex ausführen können. Google-Mitarbeiter Travis Ormandy spricht von mehr als 20 Millionen betroffenen Nutzern - Cisco arbeitet an einer Lösung.

Der Netzwerkhersteller Cisco hat offenbar noch immer Probleme mit seiner Konferenzsoftware Webex. Gleich vier Sicherheitslücken ermöglichen Angreifern, Schadcode auszuführen. Diese wurden wieder von Travis Ormandy und Cris Neckar von Google Project Zero entdeckt und mit Codebeispielen belegt. Er hatte bereits im Januar 2017 auf Sicherheitslücken in der verbreiteten Software hingewiesen. Mehr als 20 Millionen Nutzer verwendeten sie in Google Chrome, heißt es. Firefox und Microsoft Edge seien höchstwahrscheinlich auch betroffen.
Der Code habe sich mittlerweile zumindest verändert. Das Verhalten des JSON-Parsers wurde angepasst. Cisco scheint demnach dem Problem im Januar nachgegangen zu sein. Das Problem ist laut Ormandy, dass die Bibliothek atgpcext einen JSON-Parser mit eigener Namenskonvention für Eigenschaften verwendet, so dass Chrome und Webex Objekte unterschiedlich interpretieren. Das ermöglicht Angreifern, JSON-Objekte, die böswilligen Javascript-Code enthalten, in das System einzuschleusen.
Ormandy gibt ein Beispiel an: Das Objekt "object={"foo":1, "foo\0":2}" sieht Chrome mit dem Ergebnis 1, die atgpcext-Bibliothek nimmt den zweiten Parameter und sieht eine 2.
Ein zweites Problem sieht Ormandy in der GPCscript-Verifikation in Webex. Diese ist unvollständig und ermöglicht daher Calls von beliebigen exportierten Routinen aus beliebigen Bibliotheken. Der Call "_wsystem(calc)=WebEx_Exploit;" komme durch die Funktion, die so etwas eigentlich filtern solle, meint Ormandy. Außerdem können Parameter in einigen erlaubten Routinen mit Schadcode übergeben werden.
Cisco verteilt bereits Updates
Diese Fehler allein seien bereits so schwerwiegend, dass wie im Januar beliebiger Schadcode ausgeführt werden kann. Ormandy bezeichnet sämtliche Fixes jedoch als sinnlos, da es einen weiteren schwerwiegenden Fehler gibt. Das System soll sich einfach auf eine ältere Version zurückrollen lassen, da deren alte Signaturen noch immer gültig sind.
In einer Antwort auf den Post meldete sich Cisco zu Wort. Das Unternehmen bedankte sich für den detaillierten Report und teilte mit, es arbeite an einer Lösung des Problems. Ab dem 17. Juli sollen Updates für Webex verteilt werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
WebEx ist eine gute Sache, es funktioniert unabhängig der Plattform (Win/Linux/Mac) und...