-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Cisco Webex Meetings
Advisory ID     : NCSC-2020-0485
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-3263, CVE-2020-3342, CVE-2020-3347,
                  CVE-2020-3361
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20200618
Toepassing      : Cisco Webex Business Suite (WBS)
                  Cisco Webex Server
                  Cisco Webex Desktop App
                  Cisco Webex Desktop macOS lockdown-version
Versie(s)       : < Windows desktop 40.6.0
                  < macOS lockdown 39.5.11
                  <= Server 4.0MR3
                  <= WBS 39.5.25, WBS 40.4.10 en WBS 40.6.0
Platform(s)     : Apple macOS
                  Microsoft Windows

Beschrijving
   Cisco heeft meerdere kwetsbaarheden verholpen in Webex Meetings
   Server en de Webex desktop apps voor Windows en macOS. Een
   ongeautentiseerde kwaadwillende op afstand kan de kwetsbaarheden
   mogelijk misbruiken om willekeurige code uit te voeren onder de
   rechten van een gebruiker of voor het verkrijgen van toegang tot
   gevoelige informatie.

   Voor de kwetsbaarheid met kenmerk CVE-2020-3263 is het uitvoeren van
   code op afstand beperkt tot applicaties die reeds op het kwetsbare
   systeem zijn geïnstalleerd of beschikbaar zijn via bijvoorbeeld een
   gedeelde netwerkmap.

   De kwetsbaarheid met kenmerk CVE-2020-3361 betreft een privilege
   escalation waarbij een ongeautentiseerde kwaadwillende op afstand de
   privileges van een andere gebruiker binnen de Webex-site kan
   verkrijgen.

Mogelijke oplossingen
   Cisco heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
   Voor meer informatie, zie:

   CVE-2020-3342:
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory
      /cisco-sa-webex-client-mac-X7vp65BL?vs_f=Cisco%20Security%20Advis
      ory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Cisco%20Webex
      %20Meetings%20Desktop%20App%20for%20Mac%20Update%20Feature%20Code
      %20Execution%20Vulnerability&vs_k=1

   CVE-2020-3263:
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory
      /cisco-sa-webex-client-url-fcmpdfVY?vs_f=Cisco%20Security%20Advis
      ory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Cisco%20Webex
      %20Meetings%20Desktop%20App%20URL%20Filtering%20Arbitrary%20Progr
      am%20Execution%20Vulnerability&vs_k=1

   CVE-2020-3361:
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory
      /cisco-sa-webex-token-zPvEjKN?vs_f=Cisco%20Security%20Advisory&vs
      _cat=Security%20Intelligence&vs_type=RSS&vs_p=Cisco%20Webex%20Mee
      tings%20and%20Cisco%20Webex%20Meetings%20Server%20Token%20Handlin
      g%20Unauthorized%20Access%20Vulnerability&vs_k=1

   CVE-2020-3347:
   https://tools.cisco.com/security/center/content
      /CiscoSecurityAdvisory
      /cisco-sa-webex-client-NBmqM9vt?vs_f=Cisco%20Security%20Advisory&
      vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Cisco%20Webex%20M
      eetings%20Desktop%20App%20for%20Windows%20Shared%20Memory%20Infor
      mation%20Disclosure%20Vulnerability&vs_k=1

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=PRPT
-----END PGP SIGNATURE-----