Abo
  • Services:
Anzeige
Eine Videokonferenz.
Eine Videokonferenz. (Bild: Gemeinfrei/Wikimedia Commons)

Webex: Cisco macht den nächsten Patch-Versuch

Eine Videokonferenz.
Eine Videokonferenz. (Bild: Gemeinfrei/Wikimedia Commons)

Nun soll es endlich klappen: Cisco patcht die kritische Sicherheitslücke in der Webex-Telekonferenzlösung erneut. Die ersten Patches waren von Sicherheitsexperten kritisiert worden, außerdem sind offenbar auch der Internet Explorer und Firefox betroffen.

Die Sicherheitsfirma Cisco hat ihre Webex-Plugins erneut gepatcht, nachdem in der vergangenen Woche eine kritische Sicherheitslücke entdeckt wurde, die es Angreifern ermöglicht, beim Besuch einer Webseite Code auf dem Rechner der Nutzer auszuführen.

Anzeige

Mit den aktuellen Updates auf Version 1.0.7 und höher wird die entsprechende Sicherheitslücke in Chrome erneut gepatcht, die aktuellste Version ist 1.0.8. Auch in Mozillas Firefox (Version 106) und in Microsofts Internet Explorer (10031.6.2017.0127) wurde die Sicherheitslücke gefixt. Das Plugin für Microsofts neuen Browser Edge soll nach derzeitigem Kenntnisstand nicht betroffen sein. Zwischenzeitlich hatte Firefox das Plugin aus dem eigenen Appstore entfernt.

Zunächst hatte der Sicherheitsforscher Tavis Ormandy herausgefunden, dass das Chrome-Plugin für Webex die Ausführung beliebigen Codes ermöglicht, wenn Angreifer einen hardcodierten String in ihrer Webseite per iFrame ausliefern und damit unbemerkt eine Webex-Sitzung starten.

April King von Mozilla hatte kritisiert, dass die Webex-Seite weder Content Security Policy (CSP), noch HTTP Strict Transport Security (HSTS) nutzt. Außerdem würde die Seite die gängige Praxis "grundlegender Internethygiene" nicht einhalten.

Ciscos erster Patch sorgte für Kritik

Cisco hatte mit einem Patch reagiert, der bei Ausführung des Codes auf fremden Seiten eine Warnung anzeigt, die für viele Nutzer jedoch nicht verständlich sein dürfte. Ciscos eigene Webex-Seite hingegen konnte weiterhin unbemerkt Sitzungen starten. Per XSS-Angriff könnte so weiterhin Malware ausgeliefert werden.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. BASF Business Services GmbH, Ludwigshafen
  2. LexCom Informationssysteme GmbH, München
  3. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg
  4. W&W Asset Management GmbH, Ludwigsburg


Anzeige
Hardware-Angebote
  1. 564,90€ + 3,99€ Versand
  2. 6,99€

Folgen Sie uns
       


  1. Diamond Mega

    Randloses Topsmartphone mit zwei Dual-Kameras für 500 Euro

  2. Adobe

    Deep Fill denkt beim Retuschieren Bildelemente dazu

  3. Elektroautos

    Tesla will Autos in China bauen

  4. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  5. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  6. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  7. Spieleklassiker

    Mafia digital bei GoG erhältlich

  8. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  9. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  10. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: 1. Win10 Bluescreen nach Update

    otraupe | 08:13

  2. Re: Also müssen Clienten gepatched werden, nicht...

    ohinrichs | 08:06

  3. Re: Steam Link kostet gerade 1,10¤. Kein Witz

    nixidee | 08:04

  4. Auch hier wieder die Frage:

    david_rieger | 07:56

  5. Re: CS 1.5 !

    LSBorg | 07:55


  1. 07:49

  2. 07:43

  3. 07:12

  4. 14:50

  5. 13:27

  6. 11:25

  7. 17:14

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel