Unter anderem Ciscos Webex Teams für Windows, Jabber für macOS und Industrial Network Director sind verwundbar. Keine der Sicherheitslücken gilt als kritisch. Abgesicherte Versionen stehen zum Download bereit. Das führt Cisco in seinem Sicherheitscenter an.
Die Schwachstelle (CVE-2019-1939) in Webex Teams ist mit dem Bedrohungsgrad "hoch" eingestuft. Davon ist ausschließlich der Windows-Client betroffen. Für eine erfolgreiche Attacke müsste ein Angreifer Opfer lediglich auf eine präparierte Website locken. Aufgrund von mangelnden Einschränkungen könnte er den Client zum Modifizieren von Dateien und der Ausführung von eigenen Befehlen missbrauchen.
Ebenfalls mit dem Risiko "hoch" eingestuft ist eine Lücke (CVE-2019-1976) in Industrial Network Director (IND). Hier könnte ein Angreifer durch spezielle HTTP-Anfragen auf laufende Konfigurationen zugreifen und sogar Admin-Zugangsdaten auslesen.
Weitere Schwachstellen
Von den verbleibenden Sicherheitslücken geht Cisco zufolge ein mittleres Risiko aus. Beispielsweise der Jabber Client für macOS ist für Schadcode-Attacken anfällig. Damit das klappt, muss ein Angreifer aber lokal an einem System angemeldet sein.
Darüber hinaus hat Cisco noch einige Anmerkungen in puncto Sicherheit für verschiedene VPN-Router veröffentlicht.
Liste nach Bedrohungsgrad absteigend sortiert:
Webex Teams Logging Feature Command Execution
Industrial Network Director Configuration Data Information Disclosure
Jabber Client Framework for Mac Code Execution
Identity Services Engine Cross-Site Scripting
Finesse Request Processing Server-Side Request Forgery
Unified Contact Center Express Request Processing Server-Side Request Forgery
Content Security Management Appliance Information Disclosure
Quelle: Sicherheitsupdates: Cisco sichert macOS- und Windows-Software ab – und noch mehr | heise online