Jabber為思科旗下的融合通信系統(tǒng)(Unified Communication),可提供即時(shí)傳訊、語音與視訊電話、語音訊息、桌面共享、線上會(huì)議及臨場(chǎng)(presence)等服務(wù)。本周修補(bǔ)的5個(gè)漏洞中都是出現(xiàn)軟件驗(yàn)證XMPP訊息不當(dāng),讓攻擊者傳送惡意XMPP訊息開采。
其中最嚴(yán)重的是CVE-2021-1411。成功開采可讓攻擊者在裝置上的Jabber Windows用戶端軟件,以用戶帳號(hào)權(quán)限執(zhí)行任意程式碼。本漏洞僅影響Windows桌機(jī)版本。
其余4項(xiàng)漏洞風(fēng)險(xiǎn)分別是中到高度等級(jí),包括可造成任意程式碼執(zhí)行的CVE-2021-1469(7.2)、泄露隱私資訊的CVE-2021-1417(6.5)、 使遠(yuǎn)端攻擊者得以攔截流量的CVE-2021-1471(5.6)以及可讓駭客引發(fā)阻斷服務(wù)(DoS)攻擊的CVE-2021-1418(4.3)
這5個(gè)漏洞全部都影響Cisco Jabber for Windows用戶端軟件。MacOS及Android、iOS版軟件,則受到CVE-2021-1418及CVE-2021-1471的影響。
思科表示尚未發(fā)現(xiàn)這些漏洞被開采的活動(dòng)跡象。思科已經(jīng)釋出更新版本,也呼吁用戶盡速安裝。
