Cisco patcht kwetsbaarheden in Webex Meetings voor macOS en Windows

[Captain Kirk]

Cisco heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in de Webex Meetings Desktop App voor macOS en Windows waardoor een aanvaller programma's en code op het systeem van gebruikers kan uitvoeren. Webex is een populaire tool voor videoconferencing die volgens Cisco 324 miljoen gebruikers in maart had.

Gisterenavond kwam het netwerkbedrijf met beveiligingsupdates voor de Webex Meetings Desktop App. Zo bleek de Windowsversie de invoer voor applicatie-url's niet goed te controleren. Een aanvaller kan hier misbruik van maken door gebruikers een kwaadaardige url te laten openen. Vervolgens kan de aanvaller programma's starten die al op het systeem van de gebruiker aanwezig zijn.

In het geval er al kwaadaardige bestanden op het systeem staan of via een netwerklocatie bereikbaar zijn, is het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren, aldus Cisco. De kwetsbaarheid, aangeduid als CVE-2020-3263, is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 7,5. Gebruikers krijgen het advies om naar versie 39.5.12 of nieuwer te updaten.

MacOS

De macOS-versie bleek kwetsbaar voor een ander probleem (CVE-2020-3342) waarvan de impact met een 8,8 hoger is ingeschaald dan de kwetsbaarheid in de Windowsversie. De macOS-versie bleek bestanden die als onderdeel van een software-update werden gedownload niet goed te controleren. Een aanvaller had dit beveiligingslek kunnen misbruiken door gebruikers naar een malafide website te lokken.

Deze website zou vervolgens bestanden naar de client kunnen sturen die op de bestanden lijken die van een geldige Webex-site afkomstig zijn. Webex zou deze bestanden vervolgens op het systeem van de gebruiker uitvoeren. Op deze manier had een aanvaller willekeurige code met de rechten van de ingelogde gebruiker kunnen uitvoeren, zo stelt Cisco. Gebruikers wordt aangeraden om te updaten naar versie 39.5.11 of nieuwer.

 

bron: security.nl