Jabber为思科旗下的融合通信系统(Unified Communication),可提供即时传讯、语音与视讯电话、语音讯息、桌面共享、线上会议及临场(presence)等服务。本周修补的5个漏洞中都是出现软件验证XMPP讯息不当,让攻击者传送恶意XMPP讯息开采。
其中最严重的是CVE-2021-1411。成功开采可让攻击者在装置上的Jabber Windows用户端软件,以用户帐号权限执行任意程式码。本漏洞仅影响Windows桌机版本。
其余4项漏洞风险分别是中到高度等级,包括可造成任意程式码执行的CVE-2021-1469(7.2)、泄露隐私资讯的CVE-2021-1417(6.5)、 使远端攻击者得以拦截流量的CVE-2021-1471(5.6)以及可让骇客引发阻断服务(DoS)攻击的CVE-2021-1418(4.3)
这5个漏洞全部都影响Cisco Jabber for Windows用户端软件。MacOS及Android、iOS版软件,则受到CVE-2021-1418及CVE-2021-1471的影响。
思科表示尚未发现这些漏洞被开采的活动迹象。思科已经释出更新版本,也呼吁用户尽速安装。
