Jabber 是Cisco 開發(fā)的一種統(tǒng)一通信應(yīng)用程序(客戶端)，用戶能夠輕松訪問狀態(tài)、即時(shí)消息 (IM)、語音、視頻、語音消息、桌面共享和會(huì)議。3月24日，Cisco 發(fā)布軟件更新，修復(fù)了5個(gè)影響Jabber消息客戶端的安全漏洞，漏洞影響Windows、macOS、安卓和iOS 平臺(tái)。這5個(gè)漏洞分別是CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469和 CVE-2021-1471。

•  CVE-2021-1411漏洞是這5個(gè)漏洞中最嚴(yán)重的，CVSS 評(píng)分為9.9分。該漏洞是Windows app中的一個(gè)任意程序執(zhí)行漏洞，是由于沒有對(duì)消息內(nèi)容進(jìn)行適當(dāng)驗(yàn)證引發(fā)的，因此攻擊者可以發(fā)送精心偽造的XMPP 消息給有漏洞的客戶端，并以運(yùn)行該軟件的用戶賬戶權(quán)限執(zhí)行任意代碼。

• CVE-2021-1469：對(duì)消息內(nèi)容沒有進(jìn)行適當(dāng)驗(yàn)證引發(fā)的任意代碼執(zhí)行漏洞，漏洞影響Windows平臺(tái)。
•  CVE-2021-1417：對(duì)消息內(nèi)容驗(yàn)證失敗導(dǎo)致敏感信息泄露，并可以被用于未來的攻擊活動(dòng)，漏洞影響Windows平臺(tái)。
• CVE-2021-1471：證書驗(yàn)證漏洞被濫用用來攔截網(wǎng)絡(luò)請(qǐng)求和修改Jabber 客戶端和服務(wù)器之間的連接
•  CVE-2021-1418：對(duì)消息內(nèi)容沒有進(jìn)行適當(dāng)驗(yàn)證漏洞，攻擊者可以發(fā)送偽造的XMPP 消息來引發(fā)DOS 條件，漏洞影響Windows平臺(tái)、macOS、安卓和 iOS平臺(tái)。

Cisco稱，這些漏洞并不互相依賴，某個(gè)漏洞的利用也不依賴其他漏洞的利用。為利用這些漏洞，攻擊者需要對(duì)XMPP 服務(wù)器進(jìn)行認(rèn)證，并能夠發(fā)送XMPP 消息。

攻擊者成功利用漏洞可以以提升的權(quán)限執(zhí)行任意程序，訪問敏感信息，攔截受保護(hù)的網(wǎng)絡(luò)流量，引發(fā)DoS 條件。

更多漏洞細(xì)節(jié)參見：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC

本文翻譯自：https://thehackernews.com/2021/03/critical-cisco-jabber-bug-could-let.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。