Beschreibung
Eine Schwachstelle der Chat-Implementierung des ProCall Client für Windows könnte es Angreifern mit Zugriff auf die Chat-Funktionalität von ProCall Enterprise über das Netzwerk erlauben, Befehle durch eine Chat-Nachricht auszuführen.
Die Schwachstelle beruht auf unzureichender Behandlung von Links im Chat-Fenster des ProCall Client für Windows. Dadurch wäre es einem Angreifer theoretisch möglich, im zugrundeliegenden Microsoft Internet Explorer über das Netzwerk, d.h. von einem anderen ProCall Client, über das Kontaktportal oder die Multimedia Visitenkarte oder Federation, Befehle (z. B. JavaScript, ActiveX) auszuführen. Um die Schwachstelle auszunutzen, benötigt der Angreifer Zugriff auf die Chat-Funktionalität von ProCall Enterprise.
estos hat bereits ein Softwareupdate veröffentlicht, um die Schwachstelle zu adressieren. Als Workaround kann die Chat-Funktionalität von ProCall Enterprise vorübergehend deaktiviert werden.
Betroffene Versionen
Diese Schwachstelle betrifft alle bisher veröffentlichten Versionen von ProCall 6 Enterprise (EOL) und ProCall 7 Enterprise.
- 7.0, 7.1 (alle Unterversionen)
- 6.0, 6.1, 6.2, 6.3, 6.4 (alle Unterversionen)
Workaround
Als Workaround kann die Chat-Funktionalität vollständig deaktiviert werden, um den Aufruf des Chat-Fensters zu verhindern.
Versionen mit Behebung des Problems
estos hat bereits Updates mit Behebungen der Schwachstelle veröffentlicht. Kunden und Partner können die Updates über die bekannten Kanäle beziehen und dem normalen Update-Prozess folgen.
- ProCall 7 Enterprise ≥ 7.1.2.3786
- ProCall 6 Enterprise ≥ 6.4.15.3785
End-of-life
Haben Sie ältere estos Produktversionen im Einsatz, die nicht mehr unterstützt werden (End-of-Life ist erreicht), empfehlen wir aus Sicherheitsgründen dringend ein Update Ihrer Software auf die aktuellen Versionen.
Sicherheits-Patches werden regelmäßig nur für aktuelle Software-Versionen entwickelt und zur Verfügung gestellt.