凯发k8

首页 > 清静研究 > 清静转达 > 清静通告

Cisco Jabber客户端多个清静误差

宣布时间 2021-03-25

0x00 误差概

Cisco Jabber是一个即时新闻和web聚会桌面应用程序，，，，它使用可扩展新闻和状态协议（XMPP）在用户之间转达新闻。。。。。。。该应用程序基于Chromium Embedded Framework（CEF）构建，，，，其UI使用HTML、CSS和JavaScript等web手艺。。。。。。。

2021年03月24日，，，，Cisco宣布清静通告，，，，修复了Cisco Jabber中的多个清静误差。。。。。。。攻击者能够使用这些误差在系统上执行恣意代码、会见敏感信息、阻挡受保唬�；；；；；；さ耐缌髁炕虻贾戮芫Ю停―oS）。。。。。。。

0x01 误差详情

除了CVE-2021-1471外，，，，这些误差不会影响为Phone-only 模式和Team Messaging 模式的Cisco Jabber客户端软件。。。。。。。本次果真的误差如下：

Cisco Jabber平台	CVE ID
Windows	CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469、 CVE-2021-1471
MacOS	CVE-2021-1418 、CVE-2021-1471
Android 和 iOS	CVE-2021-1418 、 CVE-2021-1471

误差详情如下：

Cisco Jabber恣意代码执行误差（CVE-2021-1411）

由于邮件内容验证不准确，，，，Cisco Jabber for Windows中保存一个恣意代码执行误差，，，，其CVSS评分为9.9。。。。。。。攻击者可以通过向受影响的Jabber客户端软件发送恶意的XMPP新闻来使用此误差，，，，乐成使用此误差的攻击者能够以运行Cisco Jabber客户端软件的用户帐户的权限使应用程序在目的系统上执行恣意程序，，，，这可能导致恣意代码执行。。。。。。。

但要使用此误差，，，，攻击者需要通过受影响软件使用的XMPP效劳器举行身份验证，，，，才华将恶意制作的XMPP新闻发送到目的装备。。。。。。。

Cisco Jabber恣意代码执行误差（CVE-2021-1469）

由于邮件内容验证不准确，，，，Cisco Jabber for Windows中保存一个恣意代码执行误差，，，，其CVSS评分为7.2。。。。。。。拥有特殊设置的XMPP效劳器帐户的攻击者可以通过向受影响的软件发送恶意的XMPP新闻来使用此误差。。。。。。。乐成使用此误差的攻击者能够以运行Cisco Jabber客户端软件的用户帐户的权限使应用程序在目的系统上执行恣意程序，，，，这可能导致恣意代码执行。。。。。。。

Cisco Jabber信息泄露误差（CVE-2021-1417）

由于邮件内容验证不准确，，，，Cisco Jabber for Windows中保存一个信息泄露误差，，，，其CVSS评分为6.5。。。。。。。攻击者可以通过将恶意的XMPP新闻发送到目的系统来使用此误差，，，，乐成使用此误差的攻击者可以使应用程序将敏感的身份验证信息返回给另一个系统，，，，以将其用于进一步的攻击。。。。。。。

Cisco Jabber证书验证误差（CVE-2021-1471）

由于证书验证不准确，，，，适用于Windows、 MacOS和移动平台的Cisco Jabber中保存证书验证误差，，，，其CVSS评分为5.6。。。。。。。攻击者可以通过使用权限网络位置来阻挡来自受影响软件的网络请求并出示恶意制作的证书来使用此误差，，，，乐成使用此误差的攻击者能够检查或修改Cisco Jabber客户端与效劳器之间的毗连。。。。。。。

Cisco Jabber拒绝效劳误差（CVE-2021-1418）

由于邮件内容验证不准确，，，，适用于Windows、 MacOS和移动平台的Cisco Jabber中保存拒绝效劳误差，，，，其CVSS评分为4.3。。。。。。。攻击者可以通过向目的系统发送恶意的XMPP新闻来使用此误差，，，，乐成使用此误差的攻击者能够使得应用程序终止，，，，从而导致拒绝效劳。。。。。。。

0x02 处置惩罚建议

现在这些误差已经修复，，，，建议参考下表实时更新：

Cisco Jabber for Windows受影响版本	修复版本
12.1之前	迁徙到牢靠版本。。。。。。。
12.1	12.1.5
12.5	12.5.4
12.6	12.6.5
12.7	12.7.4
12.8	12.8.5
12.9	12.9.5
Cisco Jabber for MacOS受影响版本	修复版本
12.7 及之前	迁徙到牢靠版本。。。。。。。
12.8	12.8.7
12.9	12.9.6
Cisco Jabber for Android 和 iOS受影响版本	修复版本
12.9 及之前	迁徙到牢靠版本。。。。。。。
14.0	不受影响。。。。。。。

下载链接：

https://software.cisco.com/download/find

0x03 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC

https://www.bleepingcomputer.com/news/security/cisco-addresses-critical-bug-in-windows-macos-jabber-clients/

https://securityaffairs.co/wordpress/115931/security/cisco-jabber-critical-flaw.html?

0x04 时间线

2021-03-24 Cisco宣布清静通告

2021-03-25 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯发k8 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】