思科本周发布安全更新,以修补集成通信平台Jabber的Windows、Mac及Android、iOS版用户端软件的5项漏洞,包括一个风险层级高达9.9的重大漏洞。
Jabber为思科旗下的集成通信系统(Unified Communication),可提供即时通讯、语音与视频电话、语音频息、桌面共享、线上会议及临场(presence)等服务。本周修补的5个漏洞中都是出现软件验证XMPP消息不当,让攻击者发送恶意XMPP消息开采。
其中最严重的是CVE-2021-1411。成功开采可让攻击者在设备上的Jabber Windows用户端软件,以用户账号权限执行任意程序代码。本漏洞仅影响WindowsPC机版本。
其余4项漏洞风险分别是中到高度等级,包括可造成任意程序代码执行的CVE-2021-1469(7.2)、泄露隐私信息的CVE-2021-1417(6.5)、使远程攻击者得以拦截流量的CVE-2021-1471(5.6)以及可让黑客引发拒绝服务(DoS)攻击的CVE-2021-1418(4.3)
这5个漏洞全部都影响Cisco Jabber for Windows用户端软件。MacOS及Android、iOS版软件,则受到CVE-2021-1418及CVE-2021-1471的影响。
思科表示尚未发现这些漏洞被开采的活动迹象。思科已经发布更新版本,也呼吁用户尽快安装。