这些缺陷很严重,在满分10分的评分中,最严重的漏洞得分为9.9分。更糟的是,这些漏洞本应在三个月前通过Jabber的更新修复,就在研究人员发布了可以通过即时消息利用的可蛀漏洞的概念验证漏洞代码后不久。
abber是思科在2008年收购的广泛使用的企业聊天和即时通讯..。应用程序是基于Chromium嵌入式框架(CEF)的,该框架允许开发人员在他们的应用程序中嵌入一个基于本地沙箱的web浏览器。
思科表示,这些漏洞允许攻击者“在底层操作系统上以更高的权限执行任意程序,或获取敏感信息”。客户没有其他选择,只能安装最新的更新来防止攻击。
挪威安全机构Watchcom今年早些时候发现,Jabber很容易受到XHTML-IM消息跨站点脚本攻击(XSS)。Jabber没有正确清理传入的HTML消息,而是将它们通过错误的XSS过滤器传递。
Cisco注意到,如果攻击者可以向运行Cisco Jabber的终端用户系统发送可扩展的消息传递和在场协议(XMPP)消息,就可以利用新的消息处理漏洞。
“攻击者可能需要访问相同的XMPP域或其他访问方法才能向客户端发送消息,”Cisco在一份报告中指出。
三个未完全修复的bug,分别是CVE-2020-26085、CVE-2020-27127和CVE-2020-27132。
今年早些时候,Watchcom报告了思科面临的四个漏洞,该网络巨头在9月份披露了这些漏洞。但据Watchcom报道,其中三个问题在当时的更新中没有得到适当的修复。
在客户要求审计,以检查思科现有补丁中的漏洞是否得到了充分缓解后,Watchcom对这些补丁进行了调查。它发现bug并没有得到缓解。
三个未正确修复的错误中的两个可以用于获得远程代码执行。其中一个还可以用于从用户那里获得NT LAN Manager (NTLM)密码散列。
Watchcom的渗透测试人员Olav Sortland Thoresen解释说:“其中两个漏洞是由于将自定义HTML标签插入XMPP消息而引起的。”
9月份发布的补丁只对Watchcom识别的特定注入点进行了修补。根本问题没有得到解决。因此,我们能够找到可以用来利用漏洞的新注入点。
他补充说:“由于某些漏洞是蠕虫病毒,因此组织应考虑禁用通过Cisco Jabber与外部组织的通信,直到所有员工都安装了此更新为止。”
思科还在内部测试期间在Jabber中发现了两个其他错误。它们被跟踪为CVE-2020-27133和CVE-2020-27134。
CVE-2020-27134是Windows Jabber应用协议处理特性中的一个漏洞,其严重性评级为8(满分10分)。
CVE-2020-27133的严重等级为8.8(满分10分),对Windows和macOS的Jabber有影响。它可能允许经过身份验证的远程攻击者获得对敏感信息的访问。
注:本文由E安全编译报道,转载请注原文地址 http://www.easyaq.com
推荐阅读:
接二连三!欧洲药品管理局也遭遇了黑客攻击 涉及辉瑞新冠疫苗关键数据
微软2020年12月补丁星期二修复了58个错误,其中9个至关重要
顶级网络安全公司FireEye惨遭黑客攻击 FBI正在协助调查
美国国家安全局:俄罗斯黑客正在利用VMware漏洞进行间谍活动
美国与澳大利亚签署首份网络协议 将共同开发虚拟网络训练..
▼稿件合作 15558192959
小E微信号:Eanquan0914
喜欢记得打赏小E哦!
大家好,小豪今天来为大家解答烧卖的做法家常简单以下问题,烧卖怎么做最好吃很多人还不知道,现在让我们一起来看看吧!1、准备食材:烧麦饼
大家好,小豪今天来为大家解答桃红和玫红哪个显白以下问题,玫红色和桃红色口红很多人还不知道,现在让我们一起来看看吧!1、玫红色偏向紫色
大家好,小美今天来为大家解答醉里挑灯看剑梦回吹角连营以下问题,醉里挑灯看剑梦回吹角连营全诗翻译很多人还不知道,现在让我们一起来看看
追寻红色萍踪 传承红色基因薪火相传为了增强对党员的进修教育治理,拓展党群共建工作思路,4月12日,中国农大创业园党支部结合北京中农大立异
大家好,小伟今天来为大家解答洋气的男孩名字以下问题,洋气的男孩名字叠字很多人还不知道,现在让我们一起来看看吧!1、越彬:博学文雅,超
为周全落实“树德树人”基本义务,鼎力弘扬新时代工匠精神,近日,学工部、教授部和团委精心组织了一场主题为“弘扬工匠精神 励志花样报
李济深(1885-1959),别名济琛,字任潮,广西苍梧人,民革创始人之一。1949年后,曾任中央人民当局副主席。民革第一至四届中央主席。第一、二
大家好,小伟今天来为大家解答新浪微博注册账号申请以下问题,申请新浪微博账号有几种方式很多人还不知道,现在让我们一起来看看吧!1、打开
Copyright 2024 优质自媒体,让大家了解更多图文资讯!