Jabber 是Cisco 开发的一种统一通信应用程序(客户端),用户能够轻松访问状态、即时消息 (IM)、语音、视频、语音消息、桌面共享和会议。3月24日,Cisco 发布软件更新,修复了5个影响Jabber消息客户端的安全漏洞,漏洞影响Windows、macOS、安卓和iOS 平台。这5个漏洞分别是CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469和 CVE-2021-1471。
- CVE-2021-1411漏洞是这5个漏洞中最严重的,CVSS 评分为9.9分。该漏洞是Windows app中的一个任意程序执行漏洞,是由于没有对消息内容进行适当验证引发的,因此攻击者可以发送精心伪造的XMPP 消息给有漏洞的客户端,并以运行该软件的用户账户权限执行任意代码。
- CVE-2021-1469:对消息内容没有进行适当验证引发的任意代码执行漏洞,漏洞影响Windows平台。
- CVE-2021-1417:对消息内容验证失败导致敏感信息泄露,并可以被用于未来的攻击活动,漏洞影响Windows平台。
- CVE-2021-1471:证书验证漏洞被滥用用来拦截网络请求和修改Jabber 客户端和服务器之间的连接
- CVE-2021-1418:对消息内容没有进行适当验证漏洞,攻击者可以发送伪造的XMPP 消息来引发DOS 条件,漏洞影响Windows平台、macOS、安卓和 iOS平台。
Cisco称,这些漏洞并不互相依赖,某个漏洞的利用也不依赖其他漏洞的利用。为利用这些漏洞,攻击者需要对XMPP 服务器进行认证,并能够发送XMPP 消息。
攻击者成功利用漏洞可以以提升的权限执行任意程序,访问敏感信息,拦截受保护的网络流量,引发DoS 条件。
更多漏洞细节参见:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC
本文翻译自:https://thehackernews.com/2021/03/critical-cisco-jabber-bug-could-let.html如若转载,请注明原文地址。
