Neues Sicherheitsupdate: Ciscos Patch für Webex ist löchrig

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Neues Sicherheitsupdate: Ciscos Patch für Webex ist löchrig

    Angreifer könnten einen Sicherheitspatch für Webex umgehen. Außerdem klafft eine kritische Lücke in Prime Licencse Manager.

    Cisco hat eine reparierte Version eines Sicherheitsupdates für seine Online-Meeting-Software Webex veröffentlicht. Die Entdecker der Lücke (CVE-2018-15442) haben herausgefundent, dass man einem gepatchten Webex unter gewissen Voraussetzungen immer noch unsignierte Dateien unterjubeln kann, die die Software ausführt.

    Mithilfe einer von Webex signierten exe-Datei konnten die Sicherheitsforscher die Software dazu bringen, eine unsignierte dll-Datei auszuführen. Das geht aus einem aktualisierten Beitrag hervor. Die aktuelle Version der Webex-Desktop-App 33.6.4 ist abgesichert, schreibt Cisco in der überarbeiteten Sicherheitswarnung.

    Die sogenannte Webexec-Lücke sorgte Ende Oktober für Schlagzeilen. Cisco stuft den Bedrohungsgrad mit "hoch" ein.

    Kritische Lücke
    In Cisco Prime License Manager steckt eine als "kritisch" eingestufte SQL-Injection-Schwachstelle (CVE-2018-15441). Aufgrund einer unzureichenden Überprüfung von SQL-Anfragen könnte ein Angreifer ohne Authentifizierung aus der Ferne eigene SQL-Befehle ausführen und so beispielsweise Daten manipulieren.
    Davon sind alle Versionen von Prime License Manager ab 11.0.1 betroffen. In der Sicherheitswarnung von Cisco findet man Infos zum Patch und dessen Installation. Cisco Unified Communications Manager und Unity Connection Releases sollen von der Lücke nicht bedroht sein.

    Quelle: Neues Sicherheitsupdate: Ciscos Patch für Webex ist löchrig |
    heise Security