只需一条信息即可远程利用严重的思科 Jabber RCE缺陷
聚焦源代码安全,网罗国内外最新资讯!
作者:Lindsey O'Donnell
编译:奇安信代码卫士团队
研究人员警告称,思科 Jabber 的 Windows 版中存在一个严重的远程代码执行 (RCE) 缺陷 (CVE-2020-3495)。
Jabber 是视频会议和即时通讯应用。攻击者仅发送特殊构造的信息,无需用户交互,即可攻击目标。
思科在本周三发布安全公告指出,该漏洞的 CVSS 评分为9.9。发现该缺陷的研究人员来自 Watchcom 公司,他表示随着疫情的爆发,远程工作的员工激增,导致该漏洞尤其严重。他指出,很多敏感信息是通过视频电话或即时信息共享的,而大多数员工在使用这些应用程序,其中对其它 IT 系统具有特权访问权限的员工也不例外。
攻击者可通过向易受攻击的运行思科 Jabber Windows 版本的终端用户系统发送特殊构造的 ExtensibleMessaging and Presence Protocol (XMPP) 信息,利用该缺陷。XMPP 是基于 XML 的协议即时消息协议,它基于开放标准,广泛应用于开源和专有软件。
研究人员表示,虽然攻击者能够远程发动攻击,但需要访问同样的 XXPP 域名或通过另一种访问方法向客户端发送信息。然而,该攻击基本上易于执行:攻击目标无需用户交互,而即使思科 Jabber 在后台运行,该漏洞也可遭利用。
该问题产生的原因在于思科 Jabber 不正确地验证信息内容;该应用程序未正确地清理接收到的 HTML 信息,而是通过一个有缺陷的 XSS 过滤器传递该信息。研究人员发现可使用名为“onanimationstart”属性绕过该过滤器。该数据用于指定一个 JavaScript 函数,当一个元素的 CSS 动画开始播放时,该函数就会被调用。
研究人员发现可使用该属性创建过滤器无法捕获的恶意 HTML 标记,且它最终会被执行。最后,研究人员使用这些 HTML 标记创建一条恶意信息,拦截由该应用程序发送的 XMPP 信息并修改。攻击者可以手动在自己机器上完成,也可以自动创建自动传播的蠕虫。攻击者利用该漏洞后,能够使“该应用程序运行已存在于应用程序本地文件路径中的任意可执行文件。该可执行文件能够以初始化思科 Jabber 客户应用程序的用户的权限,在终端用户系统上运行。”
思科发布安全公告指出,使用仅电话模式下的思科 Jabber用户(未启用 XMPP 消息服务)并不易受利用影响。另外,但思科 Jabber 配置为使用消息服务而非 XMPP 消息时,该漏洞无法遭利用。
漏洞影响所有受支持的思科 Jabber 客户端版本 (12.1 ~ 12.9)。思科已为所有受影响的 Jabber 版本发布更新。
研究人员表示还从思科 Jabber 中发现了其它三个漏洞,包括协议句柄命令感染漏洞 (CVE-2020-3430)、一个信息泄露缺陷 (CVE-2020-3498) 和一个Universal NamingConvention 链接处理缺陷 (CVE-2020-3537)。
思科表示尚未有证据表明该漏洞已遭利用。
推荐阅读
思科警告:这个 IOS XR 0day 已遭利用,目前尚无补丁
思科修复 ASA/FTD 防火墙高危缺陷,已遭利用
原文链接
https://www.zdnet.com/article/backdoors-left-unpatched-in-mofi-routers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
只需一条信息即可远程利用严重的思科 Jabber RCE缺陷相关推荐
- 计算机培训软文,软文诊断62期: 学写软文标题,只需懂电脑开机即可
原标题:软文诊断62期: 学写软文标题,只需懂电脑开机即可 学技能,一定要有好奇心.要有一双善于发现的眼睛! 秋香姐每天启动电脑,在没点击浏览器之前,电脑屏幕上就会出现杀毒软件如上图类似的热门动态推送 ...
- 台式计算机设备序列号,只需一条命令,就可以查找计算机序列号,真是方便
在Windows 10上,在许多情况下需要检查计算机的序列号,例如,当你需要创建连接到家庭网络或组织的设备的清单,或需要联系技术支持来排除问题.订购更换部件或检查保修信息时. 通常可以在笔记本电脑或台 ...
- 【百度地图API】发布静态图API啦!只需一个网址,即可展示定制百度地图!
[百度地图API]发布静态图API啦!只需一个网址,即可展示定制百度地图! 原文:[百度地图API]发布静态图API啦!只需一个网址,即可展示定制百度地图! 摘要: 百度地图静态图API!您无须执行任 ...
- 本地ping不上虚拟机地址? 只需简单几步即可
本地ping不上虚拟机地址? 只需简单几步即可 问题描述 解决方案 问题描述 虚拟机安装好之后,想要用Xshell连接却连接不上,然后就用本地的cmd窗口进行ping虚拟机测试,发现ping不通 如下 ...
- 华为p20pro快捷计算机,华为P20/P20 Pro秒变电脑,只需一条绿联Type C连接线
原标题:华为P20/P20 Pro秒变电脑,只需一条绿联Type C连接线 就在刚刚,华为发布了其国行P20/P20 PRO新手机,此次P20系列搭载的是麒麟970处理器,采用10nm工艺打造,相比前 ...
- 【高代码文件格式API】道宁为您提供文件格式API集——Aspose,只需几行代码即可创建转换和操作100多种文件格式
Aspose系列产品是 高代码文件格式API 使您的应用程序能够处理 适用于所有主要平台的 Word.Excel.PDF.PowerPoint.Outlook 和100多种其他文件格式 Aspose提 ...
- 网页导出pdf不完整_没想到iPhone的自带功能这么神!只需一个按钮,即可网页导成PDF...
PDF相对于其他的文件格式来说,更加稳定,不受格式的限制,集成度和安全可靠性都比较高,日常的生活中我们经常会使用到PDF文件,那么你知道,在iPhone上要怎么把网页的内容导出成PDF吗? 不知道也没 ...
- mysql in and in_完美解决mysql in条件语句只读取一条信息问题的2种方案
今天同事在编写MYSQL查询语句时遇到一个很奇怪的问题,使用mysql多表查询,一个表中的某个字段作为另一表的in查询条件,只能读取一条信息,而直接用数字的话可以正常读取 SQL语句如下: selec ...
- 只需一行Python代码即可玩20几款小游戏
今天分享一个有趣的 github 项目:https://github.com/kingser/free-python-games,通过该项目,我们只需一行代码即可玩 20 几款小游戏,下面具体来看一下 ...
最新文章
- 微服务下的容器部署和管理平台Rancher
- 005_JDK的Date类对Comparable接口的实现
- Oozie 任务调度
- Linux下crontab(自动重启)的格式备忘
- svn 分支上新增文件合并发生冲突_SVN的使用、分支合并及解决冲突详解
- java蓝桥杯算法训练完数
- 库克微微一笑:苹果市值再次突破万亿美元大关
- java junit mock_使用Mockito进行Java的Mock测试
- Java 时间处理 PeriodDuration
- CSS3属性选择器总结
- Multisim安装问题
- 如何导出久其报表所有数据_久其报表不能传输怎么办?
- 【sketchup 2021】草图大师图像输出与渲染之Enscape渲染(优秀的实时渲染软件)的高级使用【灯光的添加、代理模型的添加、材质编辑器、视频编辑器、全景导出并编辑】
- 程序人生 - 库克:苹果收取 30% 佣金很合理!
- 实际案例说明计算机网络安全,计算机网络安全案例教程
- MySQL如何存储带有时区信息的时间?(windows/linux/mac下)
- 超市自动收款机php,自助收银机,超市无人自动收银系统,海信自助POS,自助收款机...
- docker-anpine镜像介绍
- 快手校招算法题 无重复字符的最长子串
- termux写python教程_Termux 入门与实践
热门文章
- 看完你自己也能创建个小Linux
- [转]context-param和init-param区别 context-param和in...
- 自己动手实现分布式任务调度框架
- mysql中不能update与safe update mode 有关
- Arcgis Engine 添加一个Symbol符号样式步骤
- Lua5.2中的全局环境
- 华为交换机STP的配置实例
- 在 jquery repeater 中添加设置日期,下拉,复选框等控件
- python函数详解_Python函数详解(转)
- android中播放gif动画之三