严重的Cisco Jabber漏洞可能会让攻击者入侵远程系统

思科周三发布了软件更新，以解决影响Windows、macOS、Android和iOS上Jabber消息客户端的多个漏洞。

这位网络专业的学生在一份咨询报告中说，成功利用这些漏洞可能会允许“攻击者以提升的权限在底层操作系统上执行任意程序，访问敏感信息，拦截受保护的网络流量，或造成拒绝服务（DoS）情况。”。

这些问题涉及总共五个安全漏洞，其中三个（CVE-2021-1411、CVE-2021-1417和CVE-2021-1418）由Watchcom的Olav Sortland Thoresen向该公司报告，另外两个（CVE-2021-1469和CVE-2021-1471）在内部安全测试期间被发现。

Cisco指出，这些漏洞并不相互依赖，任何一个漏洞的利用都不取决于另一个漏洞的利用。但要做到这一点，攻击者需要通过运行易受攻击软件的可扩展消息和状态协议（XMPP）服务器的身份验证，并能够发送XMPP消息。

CVE-2021-1411它涉及Windows应用程序中的任意程序执行漏洞，也是最关键的，CVSS分数为9.9分，最高为10分。据Cisco称，该漏洞是由于对消息内容的不正确验证造成的，因此攻击者可以向易受攻击的客户端发送精心编制的XMPP消息，并以与运行该软件的用户帐户相同的权限执行任意代码。

除了CVE-2021-1411，思科还修复了另外四个Jabber漏洞，计8212；

• CVE-2021-1469（Windows）-消息内容验证不当的问题，可能导致任意代码执行。
• CVE-2021-1417（Windows）-无法验证可用于泄露敏感信息的消息内容，这可能会助长进一步的攻击。
• CVE-2021-009（Windows、macOS、Android、iOS）-一个证书验证漏洞，可被滥用来拦截网络请求，甚至修改Jabber客户端和服务器之间的连接
• CVE-2021-1418（Windows、macOS、Android、iOS）-消息内容验证不当导致的问题，可通过发送精心编制的XMPP消息来利用该问题造成拒绝服务（DoS）情况。

这远非挪威网络安全公司Watchcom首次发现Jabber客户的漏洞。2020年9月，思科解决了Windows应用程序中的四个漏洞，这些漏洞可能允许经过身份验证的远程攻击者执行任意代码。但在四个漏洞中的三个没有“充分缓解”后，该公司最终于12月发布了第二轮补丁。

除了修复Jabber之外，Cisco还发布了37条其他建议，详细介绍了一些影响各种Cisco产品的中、高严重性问题的安全更新。