Veröffentlichungsdatum

ReferenzSIX-2492
Kritikalität
CRITICAL
CVSS-Score9.4

Beschreibung

Eine Schwachstelle der Chat-Implementierung des ProCall Client für Windows könnte es Angreifern mit Zugriff auf die Chat-Funktionalität von ProCall Enterprise über das Netzwerk erlauben, Befehle durch eine Chat-Nachricht auszuführen.

Die Schwachstelle beruht auf unzureichender Behandlung von Links im Chat-Fenster des ProCall Client für Windows. Dadurch wäre es einem Angreifer theoretisch möglich, im zugrundeliegenden Microsoft Internet Explorer über das Netzwerk, d.h. von einem anderen ProCall Client, über das Kontaktportal oder die Multimedia Visitenkarte oder Federation, Befehle (z. B. JavaScript, ActiveX) auszuführen. Um die Schwachstelle auszunutzen, benötigt der Angreifer Zugriff auf die Chat-Funktionalität von ProCall Enterprise.

estos hat bereits ein Softwareupdate veröffentlicht, um die Schwachstelle zu adressieren. Als Workaround kann die Chat-Funktionalität von ProCall Enterprise vorübergehend deaktiviert werden.

Betroffene Versionen

Diese Schwachstelle betrifft alle bisher veröffentlichten Versionen von ProCall 6 Enterprise und ProCall 7 Enterprise.

  • 7.0, 7.1 (alle Unterversionen)
  • 6.0, 6.1, 6.2, 6.3, 6.4 (alle Unterversionen)

Workaround

Als Workaround kann die Chat-Funktionalität vollständig deaktiviert werden, um den Aufruf des Chat-Fensters zu verhindern.

Versionen mit Behebung des Problems

estos hat bereits Updates mit Behebungen der Schwachstelle veröffentlicht. Kunden und Partner können die Updates über die bekannten Kanäle beziehen und dem normalen Update-Prozess folgen.

  • ProCall 7 Enterprise ≥ 7.1.2.3786
  • ProCall 6 Enterprise ≥ 6.4.15.3785