思科发布了关键漏洞补丁 最高漏洞得分高达9.9分

据外媒报道，近日思科已经推出了几个影响Jabber客户端Windows、MacOS以及iOS和Android移动应用的关键漏洞补丁。

这些缺陷很严重，在满分10分的评分中，最严重的漏洞得分为9.9分。更糟的是，这些漏洞本应在三个月前通过Jabber的更新修复，就在研究人员发布了可以通过即时消息利用的可蛀漏洞的概念验证漏洞代码后不久。

abber是思科在2008年收购的广泛使用的企业聊天和即时通讯平台。应用程序是基于Chromium嵌入式框架(CEF)的，该框架允许开发人员在他们的应用程序中嵌入一个基于本地沙箱的web浏览器。

思科表示，这些漏洞允许攻击者“在底层操作系统上以更高的权限执行任意程序，或获取敏感信息”。客户没有其他选择，只能安装最新的更新来防止攻击。

挪威安全机构Watchcom今年早些时候发现，Jabber很容易受到XHTML-IM消息跨站点脚本攻击(XSS)。Jabber没有正确清理传入的HTML消息，而是将它们通过错误的XSS过滤器传递。

Cisco注意到，如果攻击者可以向运行Cisco Jabber的终端用户系统发送可扩展的消息传递和在场协议(XMPP)消息，就可以利用新的消息处理漏洞。

“攻击者可能需要访问相同的XMPP域或其他访问方法才能向客户端发送消息，”Cisco在一份报告中指出。

三个未完全修复的bug，分别是CVE-2020-26085、CVE-2020-27127和CVE-2020-27132。

今年早些时候，Watchcom报告了思科面临的四个漏洞，该网络巨头在9月份披露了这些漏洞。但据Watchcom报道，其中三个问题在当时的更新中没有得到适当的修复。

在客户要求审计，以检查思科现有补丁中的漏洞是否得到了充分缓解后，Watchcom对这些补丁进行了调查。它发现bug并没有得到缓解。

三个未正确修复的错误中的两个可以用于获得远程代码执行。其中一个还可以用于从用户那里获得NT LAN Manager (NTLM)密码散列。

Watchcom的渗透测试人员Olav Sortland Thoresen解释说：“其中两个漏洞是由于将自定义HTML标签插入XMPP消息而引起的。” 

9月份发布的补丁只对Watchcom识别的特定注入点进行了修补。根本问题没有得到解决。因此，我们能够找到可以用来利用漏洞的新注入点。

他补充说：“由于某些漏洞是蠕虫病毒，因此组织应考虑禁用通过Cisco Jabber与外部组织的通信，直到所有员工都安装了此更新为止。” 

思科还在内部测试期间在Jabber中发现了两个其他错误。它们被跟踪为CVE-2020-27133和CVE-2020-27134。 

CVE-2020-27134是Windows Jabber应用协议处理特性中的一个漏洞，其严重性评级为8(满分10分)。

CVE-2020-27133的严重等级为8.8(满分10分)，对Windows和macOS的Jabber有影响。它可能允许经过身份验证的远程攻击者获得对敏感信息的访问。