GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Cisco Jabber客户端多个安全缝隙

颁布功夫 2021-03-25

0x00 缝隙概

Cisco Jabber是一个即时新闻和web会议桌面利用法式，它使用可扩大新闻和状态和谈（XMPP）在用户之间传递新闻。该利用法式基于Chromium Embedded Framework（CEF）构建，其UI使用HTML、CSS和JavaScript等web技术。

2021年03月24日，Cisco颁布安全布告，建复了Cisco Jabber中的多个安全缝隙。攻击者可能利用这些缝隙在系统上执行肆意代码、接见敏感信息、拦截受�；さ耐缌髁炕虻贾禄鼐瘢―oS）。

0x01 缝隙详情

除了CVE-2021-1471表，这些缝隙不会影响为Phone-only 模式和Team Messaging 模式的Cisco Jabber客户端软件。本次公开的缝隙如下：

Cisco Jabber平台	CVE ID
Windows	CVE-2021-1411、CVE-2021-1417、CVE-2021-1418、CVE-2021-1469、 CVE-2021-1471
MacOS	CVE-2021-1418 、CVE-2021-1471
Android 和 iOS	CVE-2021-1418 、 CVE-2021-1471

缝隙详情如下：

Cisco Jabber肆意代码执行缝隙（CVE-2021-1411）

由于邮件内容验证不正确，Cisco Jabber for Windows中存在一个肆意代码执行缝隙，其CVSS评分为9.9。攻击者能够通过向受影响的Jabber客户端软件发送恶意的XMPP新闻来利用此缝隙，成功利用此缝隙的攻击者可能以运行Cisco Jabber客户端软件的用户帐户的权限使利用法式在指标系统上执行肆意法式，这可能导致肆意代码执行。

但要利用此缝隙，攻击者必要通过受影响软件使用的XMPP服务器进行身份验证，能力将恶意造作的XMPP新闻发送到指标设备。

Cisco Jabber肆意代码执行缝隙（CVE-2021-1469）

由于邮件内容验证不正确，Cisco Jabber for Windows中存在一个肆意代码执行缝隙，其CVSS评分为7.2。占有出格配置的XMPP服务器帐户的攻击者能够通过向受影响的软件发送恶意的XMPP新闻来利用此缝隙。成功利用此缝隙的攻击者可能以运行Cisco Jabber客户端软件的用户帐户的权限使利用法式在指标系统上执行肆意法式，这可能导致肆意代码执行。

Cisco Jabber信息泄露缝隙（CVE-2021-1417）

由于邮件内容验证不正确，Cisco Jabber for Windows中存在一个信息泄露缝隙，其CVSS评分为6.5。攻击者能够通过将恶意的XMPP新闻发送到指标系统来利用此缝隙，成功利用此缝隙的攻击者能够使利用法式将敏感的身份验证信息返回给另一个系统，以将其用于进一步的攻击。

Cisco Jabber证书验证缝隙（CVE-2021-1471）

由于证书验证不正确，合用于Windows、 MacOS和移动平台的Cisco Jabber中存在证书验证缝隙，其CVSS评分为5.6。攻击者能够通过使用权限网络地位来拦截来自受影响软件的网络要求并出示恶意造作的证书来利用此缝隙，成功利用此缝隙的攻击者可能查抄或批改Cisco Jabber客户端与服务器之间的衔接。

Cisco Jabber回绝服务缝隙（CVE-2021-1418）

由于邮件内容验证不正确，合用于Windows、 MacOS和移动平台的Cisco Jabber中存在回绝服务缝隙，其CVSS评分为4.3。攻击者能够通过向指标系统发送恶意的XMPP新闻来利用此缝隙，成功利用此缝隙的攻击者可能使得利用法式终止，从而导致回绝服务。

0x02 措置建议

目前这些缝隙已经建复，建议参考下表实时更新：

Cisco Jabber for Windows受影响版本	建复版本
12.1之前	迁徙到固定版本。
12.1	12.1.5
12.5	12.5.4
12.6	12.6.5
12.7	12.7.4
12.8	12.8.5
12.9	12.9.5
Cisco Jabber for MacOS受影响版本	建复版本
12.7 及之前	迁徙到固定版本。
12.8	12.8.7
12.9	12.9.6
Cisco Jabber for Android 和 iOS受影响版本	建复版本
12.9 及之前	迁徙到固定版本。
14.0	不受影响。

下载链接：

https://software.cisco.com/download/find

0x03 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC

https://www.bleepingcomputer.com/news/security/cisco-addresses-critical-bug-in-windows-macos-jabber-clients/

https://securityaffairs.co/wordpress/115931/security/cisco-jabber-critical-flaw.html?

0x04 功夫线

2021-03-24 Cisco颁布安全布告

2021-03-25 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】