Wer einen Webex-Client für die Konferenzsoftware für Cisco in den Versionen 44.6 oder 44.7 einsetzt, sollte die Software dringend aktualisieren. In diesen Ausgaben, und zwar unter gleich welchem Betriebssystem, steckt ein fehlerhafter URL-Parser. Dieser kann nach Darstellung des Herstellers dafür sorgen, dass durch einen präparierten Einladungslink zu einer Webex-Konferenz ausführbare Dateien heruntergeladen werden können.
Diese laufen dann mit allen Rechten des Nutzers. Ob dabei eventuelle Schutzmechanismen eines Betriebssystems noch anschlagen, geht aus der Mitteilung von Cisco nicht hervor. Die vorläufige CVE-Einstufung der Lücke lautet für das Risiko "Hoch", der Score beträgt 8,8 von 10 Punkten. Einen Workaround gibt es nicht.
Betroffen sind nur die eingangs genannten Versionen der Webex-Clients, laut Cisco unter anderem auch nicht Ausgabe 44.5 und Versionen vor dieser. Ab Version 44.8 sollen die Clients die Lücke nicht mehr aufweisen. Wie sie auftreten konnte, und warum sie nur bei 44.6 und 44.7 auftritt, gab Cisco nicht bekannt. Die reparierte und aktuelle Version 44.8 steht auf den Download-Seiten von Cisco bereit.
Lesen Sie auch
(