根据思科(Cisco)9月2日安全公告显示,思科Windows版本Jabber(即时通讯软件)爆出紧急高危漏洞。以下是漏洞详情:

漏洞详情

来源:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-jabber-UyTKCPGg

CVEID :CVE-2020-3495

CSS评分:9.9紧急高危

Cisco Jabber是思科公司一套统一通信客户端解决方案,其产品涵盖Mac,Windows桌面平台,iPad,iPhone,Android移动平台。Cisco Jabber 将即时消息、语音和视频通话、语音邮件、桌面共享、会议和在线状态等多种功能集于一身,可以随时找到合适的人员,确认其是否有空,并以更有效地方式与他们协作。不过根据安全研究发现,Windows的Cisco Jabber中的漏洞可能允许经过身份验证的远程攻击者执行任意代码。

该漏洞是由于消息内容验证不正确引起的。攻击者可以通过向受影响的软件发送特制的可扩展消息和状态协议(XMPP)消息来利用此漏洞。成功的利用可能使攻击者利用运行Cisco Jabber客户端软件的用户帐户的特权,使应用程序在目标系统上执行任意程序,可能导致任意代码执行。

受影响产品和版本

Windows版Cisco Jabber 12.1 ,12.5 ,12.6 ,12.7 ,12.8 ,12.9 都会受到此漏洞影响。

思科已确认此漏洞不影响用于macOS的Cisco Jabber或用于移动平台(iPhone,iPad,Android)的Cisco Jabber。

解决方案

思科已经发布了解决上述漏洞的软件更新:

Windows版Cisco Jabber 12.1 升级 12.1.3可修复

Windows版Cisco Jabber 12.5 升级 12.5.2可修复

Windows版Cisco Jabber 12.6 升级 12.6.3可修复

Windows版Cisco Jabber 12.7 升级 12.7.2可修复

Windows版Cisco Jabber 12.8 升级 12.8.3可修复

Windows版Cisco Jabber 12.9 升级 12.9.1可修复

以下是修复方案重要说明:

1.对购买了许可证的软件版本和功能集提供支持,通过安装,下载,访问或以其他方式使用此类软件升级。

2.从思科或通过思科授权的经销商或合作伙伴购买的,具有有效许可证的软件可获得维护升级。

3.直接从思科购买但不持有思科服务合同的客户以及通过第三方供应商进行购买但未通过销售点获得修复软件的客户应通过联系思科技术支持中心获得升级。

4.客户应拥有可用的产品序列号,并准备提供上述安全通报的URL,以作为有权免费升级的证据。

热点新闻