思科已经为影响Jabber客户端的Windows、MacOS以及iOS和Android的移动应用程序的几个关键缺陷推出了补丁程序。

这些缺陷很糟糕，最严重的一个可能的严重等级为9.9。更糟糕的是，缺陷是本应在三个月前在Jabber的更新中修复，不久之后，研究人员发布了可通过即时消息利用的可修复漏洞的概念证明代码。

Jabber是思科广泛使用的企业聊天和即时通讯平台，2008年被收购。应用程序基于Chromium Embedded Framework（CEF），允许开发人员在其应用程序中嵌入一个本机沙盒化的基于Chromium的web浏览器。

请参见：网络安全策略（TechRepublic Premium）

思科表示，这些漏洞允许攻击者“以提升的权限在底层操作系统上执行任意程序，或获得对敏感文件的访问权限。”信息”。客户别无选择，只能安装最新的更新来防止攻击。

挪威安全机构Watchcom今年早些时候发现，Jabber容易通过XHTML-IM消息进行跨站点脚本（XSS）。Jabber没有正确清理传入的HTML消息，而是通过错误的XSS筛选器传递这些消息。

Cisco注意到，如果攻击者可以向运行Cisco Jabber的最终用户系统发送可扩展消息和存在协议（XMPP）消息，则可以利用新的消息处理漏洞。

“攻击者可能需要访问同一个XMPP域或其他访问方法，以便能够向客户端发送消息，“Cisco在一份咨询报告中指出，

这三个不完整已修复的漏洞被追踪为CVE-2020-26085、CVE-2020-27127和CVE-2020-27132。

Watchcom今年早些时候向Cisco报告了四个漏洞，并于9月被这家网络巨头披露。但其中三个在当时的更新中没有得到适当的修复，根据Watchcom的说法，

Watchcom在一个客户请求审计以检查Cisco现有的缺陷是否得到充分缓解后，对补丁进行了探测补丁。它发现这些错误没有得到缓解。

三个错误补丁中的两个可以用来远程执行代码。其中一个漏洞还可用于获取用户的NT LAN Manager（NTLM）密码哈希。

“其中两个漏洞是由于将自定义HTML标记注入XMPP消息的能力造成的，”Watchcom的渗透测试仪解释道，Fredrik Bugge Lyche。

“9月份发布的补丁只修补了Watchcom确定的特定注入点。根本问题没有得到解决。因此，我们能够找到可用于攻击漏洞的新注入点。

“由于某些漏洞是可修复的，组织应考虑通过Cisco Jabber禁用与外部组织的通信，直到所有员工都安装了更新，“他补充道。

请参见：保持数据流动很快可能会花费数十亿美元，企业警告称，思科在内部测试期间还发现了Jabber中另外两个漏洞。它们被跟踪为CVE-2020-27133和CVE-2020-27134。

CVE-2020-27134是用于Windows的Jabber应用程序协议处理功能中的一个漏洞，其严重性等级为10分之八。

CVE-2020-27133的严重性等级为8.8（满分10），并影响适用于Windows的Jabber和macOS的Jabber。它可能允许经过身份验证的远程攻击者访问敏感信息。

microsoft团队：49人网格随着休息室的到来，Chrome和Edge即将面世。

P> >注册，您同意
2023-03-22 10:04:24