Jabber 是Cisco 开发设计的一种统一通信应用软件(手机客户端),客户可以轻轻松松浏览情况、及时消息 (IM)、视频语音、短视频、视频语音消息、桌面共享和大会。3月24日,Cisco 公布系统更新,修补了5个危害Jabber消息手机客户端的安全性漏洞,漏洞危害Windows、macOS、安卓系统和iOS 服务平台。这5个漏洞分别是CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469和 CVE-2021-1471。
- CVE-2021-1411漏洞是这5个漏洞中最明显的,CVSS 得分为9.9分。该漏洞是Windows app中的一个任意程序运行漏洞,是因为沒有对消息內容开展适度认证引发的,因而攻击者可以推送用心仿冒的XMPP 消息给有漏洞的手机客户端,并以运作此软件的用户账户管理权限实行任意编码。
- CVE-2021-1469:对消息內容沒有开展适度认证引发的任意执行命令漏洞,漏洞危害Windows平台。
- CVE-2021-1417:对消息內容验证失败造成比较敏感数据泄露,并可以被用以以后的进攻主题活动,漏洞危害Windows平台。
- CVE-2021-1471:资格证书认证漏洞被乱用用于阻拦互联网要求和改动Jabber 手机客户端和服务器进行的联接
- CVE-2021-1418:对消息內容沒有开展适度认证漏洞,攻击者可以推送仿冒的XMPP 消息来引发DOS 标准,漏洞危害Windows平台、macOS、安卓系统和 iOS服务平台。
Cisco称,这种漏洞并不相互之间依靠,某一漏洞的利用都不依靠别的漏洞的利用。为利用这种漏洞,攻击者必须对XMPP 服务器虚拟机验证,并可以推送XMPP 消息。
攻击者取得成功利用漏洞可以以提高的管理权限实行任意程序流程,浏览比较敏感信息内容,阻拦受保障的数据流量,引发DoS 标准。
大量漏洞关键点参照:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC
文中翻譯自:https://thehackernews.com/2021/03/critical-cisco-jabber-bug-could-let.html倘若转截,请标明全文详细地址。