ISS X-Force har upptäckt en sårbarhet i den WebEx ActiveX-kontroll som används för att installera WebEx-klienten på en användares dator. WebEx använder ActiveX för att ladda ner de mjukvarukomponenter som krävs för att etablera en webbkonferens. Sårbarheten har sin grund i att ActiveX-kontrollen inte kontrollerar innehållets giltighet eller källa, vilket gör systemet sårbart för angripare som har framställt falska webbsidor som gör att WebEx ActiveX-kontroll laddar ner och installerar skadlig kod på användarens dator.
WebEx har redan uppdaterat sina kundsajter och användarnas ActiveX-kontroller uppgraderas automatiskt när de använder tjänsten. WebEx har även gjord en webbsajt för dem som är intresserade av manuell uppdatering,
"WebEx har en utbredd användning bland organisationer av alla slag och storlekar", säger Gunter Ollmann, direktör hos ISS X-Force. "Denna utbredda distribution av sårbara klienter innebär att många persondatorer inom en organisation kan utsättas för en attack endast genom att besöka en skadlig webbsajt."
Datorer som exploateras av denna sårbarhet kan utan användarens vetskap exponera konfidentiell information för angripare eller ge dem åtkomst till och kontroll över ytterligare tillgångar i ett företagsnätverk.
2006-07-09
ISS varnar för sårbarhet i WebEx webbkonferenssystem
Internet Security Systems (ISS), global ledare inom förebyggande it-säkerhet, har via sitt X-Force forsknings- och utvecklingsteam upptäckt en allvarlig sårbarhet i en ActiveX-kontroll som används av den populära webbkonferensmjukvaran WebEx. ISS och WebEX samarbetar för att komma tillrätta med sårbarheten.
Global
