Fehler in Ciscos VoIP-Software braucht Fixes

Internet Security Systems (ISS) hat zwei kritische Sicherheitslecks in der Internet-Telefonie-Software von Cisco Systems entdeckt. Betroffen ist eine Hauptkomponente der Software "CallManager", die VoIP-Telefonate (Voice over IP) initiiert und routet.

Über die eine Schwachstelle könnte ein Angreifer alle Sprachdienste abschießen; bei der anderen könnte er die Kontrolle über das System erlangen und unter anderem Gespräche umleiten, mithören oder sich Zugang zu anderen Rechnern mit Ciscos VoIP-Produkten verschaffen.

Nach Angaben von ISS und Cisco sind bislang keinerlei Fälle von Missbrauch bekannt geworden. Kunden sollten aber in jedem Fall die bereits erhältlichen Fixes installieren, erklärte der kalifornische Netzausrüster.

Neel Mehta, Team Leader der ISS-Forschungseinheit X-Force, bezeichnete die Fehler als "sehr schwerwiegend", weil sie "erlauben, dass man den Kern von VoIP-Infrastrukturen kompromittiert". Ein Hacker könne "binnen Stunden" entsprechende Angriffe konzipieren, das nötige Wissen könne er zum Teil durch Analyse der Patches gewinnen.

Aus Sicht von Mehta sind "Implementierungsfehler" bei Voice over IP gang und gäbe, und nicht etwa Cisco-spezifisch. "Das Problem mit VoIP ist, dass es da nicht nur Implementierungsfehler gibt, sondern es gibt auch Fehler im Design der Protokolle, die es schwierig machen, eine VoIP-Infrastruktur abzusichern." Hier seien Neuentwürfe oder das Hinzufügen von Sicherheitstechniken nötig, warnte der Experte.

Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert zeitnah informieren zu lassen. (Thomas Cloer/uba)