info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
Internet Security Systems |

WebEx ActiveX Control Plug-in weist laut ISS Schwachstelle auf

Bewerten Sie hier diesen Artikel:
1 Bewertung (Durchschnitt: 5)


KASSEL/ATLANTA, 7. Juli 2006. Die X-Force, das Forschungs- und Entwicklungsteam von Internet Security Systems (ISS) entdeckte in der beliebten WebEx Webkonferenzsoftware eine kritische Schwachstelle. Hierbei handelt es sich um die von dem WebEx Downloader verwendete Version des ActiveX Control Plug-ins. Der Anbieter nutzt das Steuerelement, um Anwendern, die eine Online-Konferenz einberufen oder daran teilnehmen, die hierfür notwendigen Softwarekomponenten bereitzustellen.

ISS arbeitete eng mit WebEx zusammen, um das ermittelte Leck schnellstmöglich zu schließen. Das auf Web-Kommunikations-Services spezialisierte Unternehmen brachte die Kundensysteme per Update bereits auf den neuesten Stand. Die von den Anwendern verwendeten ActiveX Control-Steuerelemente werden, sobald diese WebEx-Services nutzen, ebenfalls automatisch aktualisiert. Auch ist es möglich, ein manuelles Update durchzuführen. Hierfür hat WebEx unter der Webadresse http://www.webex.com/go/advisory eine eigene Seite eingerichtet, auf der die neue ActiveX Control-Version zum Herunterladen bereitsteht. Auch ISS reagierte umgehend. Kunden, die Produkte der Proventia-Familie einsetzen, sind bereits umfassend vor Angriffen auf die Schwachstelle geschützt. Die ISS X-Force-Warnung zu der Schwachstelle ist im Internet unter der folgenden Adresse abrufbar: http://xforce.iss.net/xforce/alerts/id/226 .

Nach Aussage von WebEx sind bislang keine Fälle bekannt, in denen die jetzt gefundene Sicherheitslücke von Hackern für Angriffe genutzt wurde.


Einfallstor für Hacker

WebEx verwendet das ActiveX-Control-Steuerelement, um den WebEx-Client auf Rechnern zu installieren. Dies ist eine notwendige Voraussetzung, um eine Webkonferenz einzuberufen oder daran teilzunehmen. Die bislang hierfür verwendete ActiveX-Control-Version überprüft die heruntergeladenen Softwarekomponenten weder auf deren Ursprung noch auf deren Inhalt. Damit steht Hackern ein Einfallstor offen, um auf die von Konferenzteilnehmern genutzten Systeme Schadcodes zu übertragen. Mittels entsprechend präparierter E-Mails oder Webseiten lässt sich das WebEx ActiveX Control Plug-in auslösen. Auf diesem Weg können vom Anwender unbemerkt beliebige bösartige Programme auf seinen Rechner übertragen werden. Dies bietet Hackern die Möglichkeit, Kontrolle über die Systeme zu erlangen und auf vertrauliche Informationen zuzugreifen. Darüber hinaus können sie sich Zugang zu weiteren im unternehmensweiten Netzwerk betriebene Systeme verschaffen und diese von der Ferne aus steuern. Unternehmen, die Opfer von Angriffen auf die Schwachstellen werden, müssen mit schwerwiegenden Schäden rechnen. Hierzu zählen Produktivitätsausfälle, die in der Regel zu hohen finanziellen Einbußen führen.

ISS setzt auf Prävention

Bei seinen Produkten setzt ISS auf präventiven Schutz. Die Arbeit der X-Force, die sich auf die Ermittlung von Schwachstellen anstelle bekannten Exploits konzentriert, trägt hierzu maßgeblich bei. Die von dem Spezialisten von Sicherheitslösungen entwickelte Virtual-Patch-Technologie kombiniert zahlreiche Analyseverfahren sinnvoll miteinander und stellt darauf aufbauend die für eine präventive Absicherung von Infrastrukturen notwendigen Verfahren bereit. Beim Einsatz von ISS-Produkten sind Netzwerke somit vor der Ausnutzung von Software-Schwachstellen geschützt, bevor die betroffenen Hersteller der jeweiligen Anwendungen mit Patches auf die neu bekannt gewordene Sicherheitslücke reagieren.

Zitat

"Unternehmen jedweder Branche und Größenordnung setzen in Sachen Online-Meetings auf die bewährten Dienste von WebEx. Die weite Verbreitung des schwachstellenbehafteten Client ActiveX-Agenten bedeutet, dass zahlreiche Workstations ins Visier von Angreifern geraten können. Hierzu müssen die Anwender lediglich eine präparierte Webseite aufrufen - auf diese Weise erhalten sie einen gefährlichen Schadcode frei Haus."
Georg Isenbürger, Director Sales Deutschland, Internet Security Systems


Ca. 4.026 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)


Weitere Informationen:

Internet Security Systems GmbH
Stefanie Woytowitz
Miramstraße 87
D-34123 Kassel
Telefon: 0561.57087.22
Telefax: 0561.57087.18
E-Mail: swoytowitz@iss.net

billo pr GmbH
Tina Billo / Annette Spiegel
Taunusstraße 43
D-65183 Wiesbaden
Telefon: 0611.5802.417 od. 415
Telefax: 0611.5802.434
E-Mail: tina@billo-pr.com
annette@billo-pr.com


Kurzprofil Internet Security Systems: Internet Security Systems (ISS) gilt bei renommierten Unternehmen und Regierungsbehörden rund um den Globus als erste Instanz in Sachen Sicherheit. Das Angebot umfasst alle für die präventive Absicherung von Rechnern, Servern und Netzwerken erforderlichen Produkte und garantiert deren unterbrechungsfreien Betrieb. Eine breite Palette an Managed Security Services rundet das Leistungsspektrum ab. Seit seiner Gründung im Jahr 1994 setzt ISS auf ein mehrstufiges Sicherheitskonzept, das den Schutz von Schwachstellen in den Mittelpunkt stellt. Diesem Ansatz folgend, konzentriert sich der Hersteller auf die Entwicklung von Produkten und Services, die frühzeitig sowohl bekannte als auch bislang weniger beachtete Angriffstechniken erkennen und diese automatisch entschärfen, bevor Schaden entsteht. Dabei kommt der ISS-eigenen Forschungs- und Entwicklungsabteilung X-Force, die international als Autorität auf dem Gebiet der Schwachstellenermittlung gilt und permanent mit dem Internet in Zusammenhang stehende Bedrohungspotenziale aufdeckt, besondere Bedeutung zu. Von dem Team gewonnene Arbeitsergebnisse fließen permanent in alle von dem Hersteller angebotenen Lösungen ein. Kunden, die auf ISS vertrauen, sind somit stets einen Schritt voraus und können darauf vertrauen, dass ihre geschäftsentscheidenden Ressourcen nicht zum Ziel von über das Internet geführten Angriffen werden. Neben seinem Hauptsitz in Atlanta, USA, ist ISS auf allen Kontinenten vertreten. Sitz der deutschen Niederlassung ist Kassel. Mehr Informationen erhalten Sie unter www.iss.net .



Web: http://www.iss.net


Für den Inhalt der Pressemitteilung ist der Einsteller, Annette Spiegel, verantwortlich.

Pressemitteilungstext: 723 Wörter, 6123 Zeichen. Als Spam melden


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von Internet Security Systems lesen:

Internet Security Systems | 11.06.2007

Internationale Anwaltskanzlei Sonnenschein setzt bei der Absicherung seiner IT-Infrastruktur auf IBM

KASSEL/ATLANTA, 11. Juni 2007. Die mit über 700 Rechtsanwälten rund um den Globus vertretene Anwaltskanzlei Sonnenschein Nath and Rosenthal LLP sichert seine IT-Infrastruktur mit Lösungen des IBM Tochterunternehmens Internet Security System ab. Um...
Internet Security Systems | 23.04.2007

Internet Security Systems, ein IBM Unternehmen, geht mit IPS-Lösung zum Schutz dezentraler Netzsegmente an den Start

KASSEL/ATLANTA, 23. April 2007 - Mit dem ab sofort verfügbaren Modell Proventia Network IPS GX3002 bietet das IBM Unternehmen Internet Security Systems jetzt eine kostengünstige Appliance zum präventiven Schutz dezentraler Netzwerksegmente an. Da...
Internet Security Systems | 01.03.2007