Cisco: Sicherheitsupdates für mehrere Produkte veröffentlicht

Der US-Netzwerkausrüster Cisco hat Sicherheitsupdates veröffentlicht. Sie beseitigen eine Schwachstelle mit „High“-Einstufung aus dem AnyConnect Secure Mobility Client für Windows sowie je eine weitere („Medium“) aus Webex Meetings, aus der Webex Meetings Desktop-App und den Productivity Tools für Windows sowie aus dem Betriebssystem Cisco StarOS.

Mittels der High-Schwachstelle CVE-2021-1366 im Mobility Client vor Version 4.9.05042 könnte ein lokaler Angreifer beliebigen Programmcode mit System-Privilegien auf verwundbaren Systemen ausführen. Der Exploit funktioniert über das Versenden einer speziell präparierten IPC-Nachricht (Inter Process Communication) an den Client. Er setzt allerdings gültige Zugangsdaten für das jeweilige Windows-System voraus und funktioniert zudem nur dann, wenn das VPN Posture (HostScan)-Modul auf dem Client installiert ist.

Quelle: Cisco: Sicherheitsupdates für mehrere Produkte veröffentlicht | heise online