Jabber為思科旗下的融合通信系統(Unified Communication),可提供即時(shí)傳訊、語(yǔ)音與視訊電話(huà)、語(yǔ)音訊息、桌面共享、線(xiàn)上會(huì )議及臨場(chǎng)(presence)等服務(wù)。本周修補的5個(gè)漏洞中都是出現軟件驗證XMPP訊息不當,讓攻擊者傳送惡意XMPP訊息開(kāi)采。
其中最嚴重的是CVE-2021-1411。成功開(kāi)采可讓攻擊者在裝置上的Jabber Windows用戶(hù)端軟件,以用戶(hù)帳號權限執行任意程式碼。本漏洞僅影響Windows桌機版本。
其余4項漏洞風(fēng)險分別是中到高度等級,包括可造成任意程式碼執行的CVE-2021-1469(7.2)、泄露隱私資訊的CVE-2021-1417(6.5)、 使遠端攻擊者得以攔截流量的CVE-2021-1471(5.6)以及可讓駭客引發(fā)阻斷服務(wù)(DoS)攻擊的CVE-2021-1418(4.3)
這5個(gè)漏洞全部都影響Cisco Jabber for Windows用戶(hù)端軟件。MacOS及Android、iOS版軟件,則受到CVE-2021-1418及CVE-2021-1471的影響。
思科表示尚未發(fā)現這些漏洞被開(kāi)采的活動(dòng)跡象。思科已經(jīng)釋出更新版本,也呼吁用戶(hù)盡速安裝。
