Cisco stopft schwerwiegende Lücke in Webex Meetings für Windows

Cisco warnt erneut vor einer Schwachstelle in einem seiner Software-Produkte. Diesmal ist die Windows-App Webex Meetings Virtual Desktop betroffen. Der Sicherheitswarnung zufolge kann ein lokaler Angreifer Schadcode auf einem ungepatchten System ausführen.

Allerdings lässt sich die Anfälligkeit nur unter bestimmten Voraussetzungen ausnutzen. Die Webex Meetings Desktop App muss in einer virtuellen Desktopumgebung auf einem gehosteten Virtual Desktop (HVD) ausgeführt wird und so konfiguriert ist, dass das Cisco Webex Meetings Virtual Desktop Plug-in für Thin Clients zum Einsatz kommt. Das Plug-in soll HVD-Nutzer unterstützen, die sich von einem privat genutzten PC mit einem Unternehmensnetzwerk verbinden.

„Ein erfolgreicher Exploit könnte dem Angreifer erlauben, die zugrundeliegende Betriebssystemkonfiguration zu ändern, was es dem Angreifer erlauben könnte, beliebigen Code mit den Privilegien eines angemeldeten Benutzers auszuführen“, teilte Cisco mit. Ein lokaler Angreifer kann den Fehler nur nutzen, indem er eine speziell gestaltete Nachricht über das Virtualization Channel Interface an die anfällige Software schickt.

Trotz der Einschränkungen geht laut Cisco von der Sicherheitslücke ein hohes Risiko aus. Im zehnstufigen Common Vulnerability Scoring System ist sie mit 7,3 Punkten bewertet.

Betroffene Nutzer sollten nun zeitnah auf die fehlerbereinigten Versionen 40.6.9 und später oder 40.8.9 und später umsteigen. Cisco weist darauf hin, dass die Kunden betroffene App in der HVD in der virtuellen Desktop-Umgebung aktualisieren müssen. Ein Update für das Plug-in sei nicht erforderlich.

Entdeckt wurde die Schwachstelle bei eigenen internen Tests, so Cisco weiter. Bisher seien keine Angriffe auf die Anfälligkeit bekannt.

Außerdem drängt das Unternehmen seine Kunden, Webex Meetings und Webex Meetings Server zu aktualisieren, weil insgesamt drei Lücken in Webex Network Recording Player für Windows und Webex Player für Windows stecken. Die Wiedergabe-Apps verarbeiten offenbar Dateien im Advanced Recording Format (ARF) und Webex Recording Format (WRF) nicht korrekt.

Hier vergibt Cisco einen CVSS-Score von 7,8. Ein Angreifer muss lediglich ein Opfer dazu bringen, speziell gestaltete Dateien im ARF- oder WRF-Format zu öffnen, um eine Remotecodeausführung zu erreichen.