Jabber 是Cisco 開發的一種統一通信應用程序(客戶端)，用戶能夠輕松訪問狀態、即時消息 (IM)、語音、視頻、語音消息、桌面共享和會議。3月24日，Cisco 發布軟件更新，修復了5個影響Jabber消息客戶端的安全漏洞，漏洞影響Windows、macOS、安卓和iOS 平臺。這5個漏洞分別是CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469和 CVE-2021-1471。

•  CVE-2021-1411漏洞是這5個漏洞中最嚴重的，CVSS 評分為9.9分。該漏洞是Windows app中的一個任意程序執行漏洞，是由于沒有對消息內容進行適當驗證引發的，因此攻擊者可以發送精心偽造的XMPP 消息給有漏洞的客戶端，并以運行該軟件的用戶賬戶權限執行任意代碼。

• CVE-2021-1469：對消息內容沒有進行適當驗證引發的任意代碼執行漏洞，漏洞影響Windows平臺。
•  CVE-2021-1417：對消息內容驗證失敗導致敏感信息泄露，并可以被用于未來的攻擊活動，漏洞影響Windows平臺。
• CVE-2021-1471：證書驗證漏洞被濫用用來攔截網絡請求和修改Jabber 客戶端和服務器之間的連接
•  CVE-2021-1418：對消息內容沒有進行適當驗證漏洞，攻擊者可以發送偽造的XMPP 消息來引發DOS 條件，漏洞影響Windows平臺、macOS、安卓和 iOS平臺。

Cisco稱，這些漏洞并不互相依賴，某個漏洞的利用也不依賴其他漏洞的利用。為利用這些漏洞，攻擊者需要對XMPP 服務器進行認證，并能夠發送XMPP 消息。

攻擊者成功利用漏洞可以以提升的權限執行任意程序，訪問敏感信息，攔截受保護的網絡流量，引發DoS 條件。

更多漏洞細節參見：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC

本文翻譯自：https://thehackernews.com/2021/03/critical-cisco-jabber-bug-could-let.html如若轉載，請注明原文地址。