Jabber是Cisco开发的统一通信应用程序(客户端),使用户能够轻松访问在线状态、即时消息(IM)、语音、视频、语音消息、桌面共享和会议。3月24日,思科发布了软件更新,修复了影响Jabber消息客户端的五个安全漏洞,影响Windows、macOS、Android和iOS平台。这五个漏洞分别是CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469和CVE-2021-1471。CVE-2021-1411漏洞是五个漏洞中最严重的一个,CVSS评分为9.9。该漏洞是Windowsapp中的一个任意程序执行漏洞,是由于没有正确验证消息内容造成的,因此攻击者可以向易受攻击的客户端发送精心伪造的XMPP消息,并以用户账号权限运行软件执行任意代码。CVE-2021-1469:消息内容校验不当导致的任意代码执行漏洞,该漏洞影响Windows平台。CVE-2021-1417:无法验证消息内容导致敏感信息泄露,可用于未来的攻击。该漏洞影响Windows平台。CVE-2021-1471:证书验证漏洞被滥用来拦截网络请求并修改Jabber客户端和服务器之间的连接CVE-2021-1418:未能正确验证消息内容漏洞允许攻击者发送伪造的XMPP消息来触发DOS条件,该漏洞影响Windows平台、macOS、Android和iOS平台。据思科称,这些漏洞之间并不相互依赖,一个漏洞的利用不依赖于其他漏洞的利用。要利用这些漏洞,攻击者需要通过XMPP服务器的身份验证并能够发送XMPP消息。成功利用此漏洞的攻击者可以执行具有提升权限的任意程序、访问敏感信息、拦截受保护的网络流量并导致DoS条件。更多漏洞详情请见:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC本文翻译自:https://thehackernews.com/2021/03/critical-cisco-jabber-bug-could-let.html如有转载请注明出处。
