Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie

Door , 20 reacties

Netwerkapparatuurmaker Cisco heeft opnieuw een patch voor een kritieke kwetsbaarheid in zijn WebEx-extensie uitgebracht. Extensies voor Chrome en Firefox zijn kwetsbaar. Het lek werd ontdekt door Google-onderzoeker Tavis Ormandy, die eerder ook al WebEx-kwetsbaarheden vond.

In een waarschuwing schrijft Cisco dat het lek met kenmerk CVE-2017-6753 een ongeauthenticeerde aanvaller in de gelegenheid stelt om een slachtoffer naar een kwaadaardige website te lokken. De aanvaller kan daar dan op afstand willekeurige code in de browser van zijn doelwit uitvoeren.

De kwetsbaarheid is aanwezig in de Windows-versies van WebEx Meetings Server, Meeting Center, Event Center, Training Center, Support Center en WebEx Meetings. WebEx is een populaire extensie voor zakelijk gebruik en biedt verschillende communicatiemogelijkheden. De Chrome-extensie heeft 20 miljoen gebruikers, aldus Ormandy.

WebEx voor Linux, macOS en de Edge- en Internet Explorer-browsers van Microsoft is niet kwetsbaar, aldus Cisco. De kwetsbare versies op Chrome en Firefox hebben nummers lager dan 1.0.12. Ormandy ontdekte het lek samen met Divergent Security-onderzoeker Chris Neckar aan het begin van deze maand en heeft sindsdien in contact gestaan met Cisco.

Het is niet de eerste keer dat de Google Project Zero-onderzoeker kwetsbaarheden in WebEx vindt. In januari dichtte Cisco een lek dat eveneens het uitvoeren van code mogelijk maakte. Kort daarna volgde er nog een.

Reacties (20)

Wijzig sortering
1.0.12 bevat de fix en is dus niet kwetsbaar (heb het al via Feedback gemeld) :)
Vond het al raar dat ik de extensie niet kon updaten.

Chrome update periodiek automatisch. Indien je wilt forceren ga naar: chrome://extensions > klik develop mode aan > Klik op de knop "Update extentions now"
Je hebt een typo in de url, het is met een s. :)

chrome://extensions/
WebEx is troep. Eens in de zoveel tijd gooien ze er een nieuw sausje overheen maar de technologie stamt uit het jaar kruikje en er wordt nagenoeg niet aan ontwikkelt. Omdat bedrijven niet durven over te stappen (teveel werk, alternatieven onbekend) en het speelveld qua concurrentie onduidelijk is, is het een eenvoudige melk koe voor Cisco.

Zolang Cisco de ontwikkeling zo laag op de prio lijst heeft staan kun je de gaten blijven verwachten.
Eindelijk hoor ik het van iemand anders!
Ik heb veel ervaring met vergaderingen via WebEx, en gewoon alles was lastig en problematisch.
Er was maar één ding lastiger dan WebEx zelf, en dat was de ondersteuning door Cisco. Niet te filmen, hoe onbehulpzaam die gasten waren
Ik voeg me hier van harte aan toe.
- Firefox add-on die alleen verouderde Firefox versies ondersteunt.
- Als je in je browser een proxy script gebruikt werkt het helemaal niet. In de applicatie handmatig een proxy instellen is onmogelijk, het moet verplicht via een browser met een vast ingestelde proxy. Is al jaren zo, maar wordt op de support pagina's nergens erkent.
- Het is niet altijd duidelijk van welke browser de proxy instellingen gebruikt worden.
- Jabber (ook Cisco) heet zogenaamd Webex integratie. De helft van de webex meetings verschijnen niet als een popup. Je moet dan weer in de meeting op een linkje klikken.
- Voor die meetings moet je dan wel weer een aparte webex geïnstalleerd hebben.
- Zelden zo een onhandig en gebruikers onvriendelijke portal gezien.
- Integratie met Outlook zuigt. Die zou er voor moeten zorgen dat ik helemaal nooit op die website hoef te zijn.
- Zelfs de per meeting run-once exe's laten bergen troep op je harde schijf achter.

[Reactie gewijzigd door locke960 op 18 juli 2017 21:01]

Haha, ja de ondersteuning is zo mogelijk nog schrijnender. :)
Grappig dat juist Internet Explorer en Edge niet kwetsbaar waren. Had het eerlijk gezegd andersom verwacht.
Volgens mij zit het al een tijd snor met de MS browsers.
Dit is een beetje als met Norton, het was ooit traag en log en dat is het volgens mij voor veel mensen per definitie nog steeds.
Stigma's kom je gewoon niet zo snel van af.
Trust schijnt ook verbeterd te zijn, maar dat ontloop ik ook nog altijd als de pest.

Packard Bell, nog zo'n merkje.

[Reactie gewijzigd door Ton Deuse op 19 juli 2017 11:49]

Cisco remote connection software (alle varianten en plugins) zijn fossielen die hopelijk snel uitsterven, net als bij Flash en Java applets is gebeurd. Logge, lekke software die niet meer van deze tijd is.
Dat is nogal een generiek onderbuik-statement. Heb je enige informatie waarmee je dit kan staven?
Hmmm, ik ben bang dat Java nog wat langer rond zal zwerven dan Flash zal doen. Maar we blijven hopen!
Let wel, MrBlues doelt op Java applets en niet op Java zelf. Java zien we de eerste jaren nog niet uitsterven en maar goed ook ;)
Blijft sneu als een installer van software (Java) je adware/malware of gewoon ongewenste software probeert aan te smeren.
Ken het, en bijvoorbeeld utorrent heeft ook zo'n 3rd party guide, maar het hoort gewoon niet zo te zijn dat dit nodig is. Hetzelfde met malware ads. Ver uit de buurt houden.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*