Af Eskil Sørensen, 25/03/21
Cisco har opdateret Jabber-klientsoftware til Windows, macOS, Android og iOS for imødegå en kritisk fejl. Det skriver Security Affairs.
Cisco Jabber er en samarbejdsplatform, der leverer instant messaging, tale- og videoopkald, voice messaging, desktop-deling, konferencer mm. Fejlen, der har nummeret CVE-2021-1411, påvirker flere versioner af Cisco Jabber-klientsoftware. Fejlen har af Cisco selv fået CVSS-scoren på 9,9 ud af 10, mens National Vulnerability Database endnu ikke har analyseret fejlen.
Fejlen kommer i kraft af en forkert inputvalidering af indgående meddelelsers indhold. Det medfører ifølge Ciscos advisory, at det kan give en angriber mulighed for at afvikle vilkårlige programmer på det underliggende operativsystem med forhøjede privilegier, få adgang til følsomme oplysninger, opfange beskyttet netværkstrafik eller denial-of-service. Dette gælder de mobile platforme.
Fejlen vil kunne udnyttes uden brugerinteraktion af en godkendt, ekstern angriber til at afvikle vilkårlig kode på Windows-, macOS-, Android- eller iOS-enheder, der kører ikke-patchet Jabber-klientsoftware, dvs. version 12.9 eller tidligere.
Cisco har i samme omgang adresseret fire andre fejl i Jabber-software med følgende CVE-numre: CVE-2021-1417, CVE-2021-1418, CVE-2021-1469 og CVE-2021-1471.
Links:
https://securityaffairs.co/wordpress/115931/security/cisco-jabber-critical-flaw.html