Wie sich nun herausgestellt hat sind auch die Versionsnummern 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 der 3CX Electron-Mac-App betroffen.  Antivirensoftware-Anbieter haben deshalb die ausführbare 3CXDesktopApp.exe markiert und blockiert.

CVE-2023-29059: cve.mitre.org (Externer Link)

Nutzer die Ihre Anlage bei 3CX selbst hosten oder StartUP nutzen, müssen ihre Server nicht aktualisieren, da diese über Nacht automatisch updaten. Die Server werden neu gestartet und die neue Electron App MSI/DMG wird auf dem Server installiert. 3CX empfiehlt die Electron App NICHT zu installieren oder einzurichten. Das Update soll lediglich sicherstellen, dass der Trojaner vom 3CX-Server entfernt wurde, auf den Desktop Apps gespeichert sind und für den Fall dienen, dass Benutzer die App trotzdem einrichten. Während des Neustarts des Servers kann es einige Minuten lang zu Unterbrechungen kommen.

Hosten Sie Ihre Anlage selber, ist ein Update über die Adminkonsole erforderlich. Folgende Schritte müssen ausgeführt werden:

1. Starten Sie die Verwaltungskonsole.
2. Gehen Sie zu Updates.
3. Laden Sie die Mac Desktop App herunter – 18.12.422
4. Laden Sie die Windows Desktop App herunter – 18.12.422

Befolgen Sie diese Schritte, um die Electron App für Mac oder Windows zu deinstallieren:

Für Windows:

1. Navigieren Sie zu „Start“.
2. Tippen Sie “Systemsteuerung” und drücken Sie „Enter“.
3. Wählen Sie “Programme > Programm deinstallieren”.
4. Suchen Sie die 3CX Desktop App, markieren Sie diese und drücken Sie “Deinstallieren”.

Für Mac:

1. Gehen Sie zu “Applikationen”.
2. Tippen Sie auf “3CX Desktop App”.
3.  Klicken Sie mit der rechten Maustaste und dann auf „In den Papierkorb verschieben“.
4.  Stellen Sie sicher, dass es nicht auch auf dem Desktop vorhanden ist, andernfalls löschen Sie es auch von dort.
5.  Leeren Sie den Papierkorb.

Verwenden Sie PWA anstelle der Electron App 

1.  Melden Sie sich beim Webclient an.
2. Sie haben zwei Möglichkeiten:
   a) Klicken Sie ENTWEDER auf das Betriebssystemsymbol unter dem Benutzeravatar. Ein neuer Dialog wird geöffnet, wählen Sie hier “Web App (PWA)” und klicken Sie dann auf die Schaltfläche „Installieren“.
   b) ODER klicken Sie auf die Schaltfläche „Installieren“ (ein Bildschirm mit einem Pfeil) in der Adressleiste und bestätigen Sie.
3. So stellen Sie die App auf Autostart:
   a) Google Chrome: Öffnen Sie Ihren Chrome-Browser und geben Sie ‘chrome://apps’ in die Adressleiste ein. Klicken Sie mit der rechten Maustaste auf “3CX” und aktivieren Sie “App beim Anmelden starten”.
   b) Microsoft Edge: Wählen Sie auf Edge in dem Dialogfeld, das nach der Installation angezeigt wird, die Option zum Autostart aus.
   PWA funktioniert nur auf Google Chrome und Microsoft Edge – nicht auf Safari oder Firefox!

Vermeiden Sie unbedingt die Nutzung der Electron App, benutzen Sie alternativ den Webclient.
Nach Aussage von 3CX werden nach ein oder zwei Tagen von Grund auf eine weitere Electron App mit einem neuen signierten Zertifikat erstellt, welche komplett sicher ist. Wir empfehlen dringend, die aktuelle Electron App nicht zu verwenden. Das Update der Electron App, welches gestern veröffentlicht wurde, gilt als sicher, aber in Anbetracht des engen Zeitraums von 24 Stunden für die notwendigen Anpassungen, gibt es hierfür keine Garantie.

Alle Anlagen die über uns verwaltet werden, bzw. in unserem Rechenzentrum gehostet sind, werden zeitnah von unseren Mitarbeitern aktualisiert.

Ebenfalls erhalten unsere Kunden gesonderte Informationen per E-Mail.