Jabber為思科旗下的融合通信系統(tǒng)(Unified Communication),可提供即時傳訊、語音與視訊電話、語音訊息、桌面共享、線上會議及臨場(presence)等服務(wù)。本周修補(bǔ)的5個漏洞中都是出現(xiàn)軟件驗證XMPP訊息不當(dāng),讓攻擊者傳送惡意XMPP訊息開采。
其中最嚴(yán)重的是CVE-2021-1411。成功開采可讓攻擊者在裝置上的Jabber Windows用戶端軟件,以用戶帳號權(quán)限執(zhí)行任意程式碼。本漏洞僅影響Windows桌機(jī)版本。
其余4項漏洞風(fēng)險分別是中到高度等級,包括可造成任意程式碼執(zhí)行的CVE-2021-1469(7.2)、泄露隱私資訊的CVE-2021-1417(6.5)、 使遠(yuǎn)端攻擊者得以攔截流量的CVE-2021-1471(5.6)以及可讓駭客引發(fā)阻斷服務(wù)(DoS)攻擊的CVE-2021-1418(4.3)
這5個漏洞全部都影響Cisco Jabber for Windows用戶端軟件。MacOS及Android、iOS版軟件,則受到CVE-2021-1418及CVE-2021-1471的影響。
思科表示尚未發(fā)現(xiàn)這些漏洞被開采的活動跡象。思科已經(jīng)釋出更新版本,也呼吁用戶盡速安裝。
