Jabber 是Cisco 開發(fā)的一種統(tǒng)一通信應(yīng)用程序(客戶端)，用戶能夠輕松訪問(wèn)狀態(tài)、即時(shí)消息 (IM)、語(yǔ)音、視頻、語(yǔ)音消息、桌面共享和會(huì)議。3月24日，Cisco 發(fā)布軟件更新，修復(fù)了5個(gè)影響Jabber消息客戶端的安全漏洞，漏洞影響Windows、macOS、安卓和iOS 平臺(tái)。這5個(gè)漏洞分別是CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469和 CVE-2021-1471。

在林口等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計(jì),營(yíng)銷型網(wǎng)站建設(shè),外貿(mào)網(wǎng)站制作,林口網(wǎng)站建設(shè)費(fèi)用合理。

•  CVE-2021-1411漏洞是這5個(gè)漏洞中最嚴(yán)重的，CVSS 評(píng)分為9.9分。該漏洞是Windows app中的一個(gè)任意程序執(zhí)行漏洞，是由于沒有對(duì)消息內(nèi)容進(jìn)行適當(dāng)驗(yàn)證引發(fā)的，因此攻擊者可以發(fā)送精心偽造的XMPP 消息給有漏洞的客戶端，并以運(yùn)行該軟件的用戶賬戶權(quán)限執(zhí)行任意代碼。

• CVE-2021-1469：對(duì)消息內(nèi)容沒有進(jìn)行適當(dāng)驗(yàn)證引發(fā)的任意代碼執(zhí)行漏洞，漏洞影響Windows平臺(tái)。
•  CVE-2021-1417：對(duì)消息內(nèi)容驗(yàn)證失敗導(dǎo)致敏感信息泄露，并可以被用于未來(lái)的攻擊活動(dòng)，漏洞影響Windows平臺(tái)。
• CVE-2021-1471：證書驗(yàn)證漏洞被濫用用來(lái)攔截網(wǎng)絡(luò)請(qǐng)求和修改Jabber 客戶端和服務(wù)器之間的連接
•  CVE-2021-1418：對(duì)消息內(nèi)容沒有進(jìn)行適當(dāng)驗(yàn)證漏洞，攻擊者可以發(fā)送偽造的XMPP 消息來(lái)引發(fā)DOS 條件，漏洞影響Windows平臺(tái)、macOS、安卓和 iOS平臺(tái)。

Cisco稱，這些漏洞并不互相依賴，某個(gè)漏洞的利用也不依賴其他漏洞的利用。為利用這些漏洞，攻擊者需要對(duì)XMPP 服務(wù)器進(jìn)行認(rèn)證，并能夠發(fā)送XMPP 消息。

攻擊者成功利用漏洞可以以提升的權(quán)限執(zhí)行任意程序，訪問(wèn)敏感信息，攔截受保護(hù)的網(wǎng)絡(luò)流量，引發(fā)DoS 條件。

更多漏洞細(xì)節(jié)參見：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC

本文翻譯自：https://thehackernews.com/2021/03/critical-cisco-jabber-bug-could-let.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。

網(wǎng)頁(yè)題目：CiscoJabber爆多安全漏洞
標(biāo)題網(wǎng)址：http://uogjgqi.cn/article/dpijhsp.html