آسیبپذیریهای چندگانه در Cisco Jabber ویندوز و امکان اجرای کد دلخواه
Cisco Jabber امکان پیامرسانی فوری(IM)، صوتی، تصویری، پیام صوتی، اشتراک دسکتاپ و کنفرانس را در هر دستگاهی فراهم میکند. چندین آسیبپذیری در Cisco Jabber ویندوز کشف شده است که شدیدترین آنها امکان اجرای کد دلخواه را توسط مهاجم و از راه دور، فراهم میکند. بسته به سطح دسترسی برنامه مورد نظر، مهاجم میتواند برنامهها را نصب، مشاهده و حذف کند یا آنها را تغییر دهد و یا حسابهای جدیدی با حقوق کامل کاربر ایجاد کند. هرچه میزان دسترسیهای سیستم مورد نیاز برنامه کمتر باشد، مهاجم کمتر میتواند بر آن اثر بگذارد. سیستمهای تحتتاثیر • Cisco Jabber برای ویندوز در نسخه 12.1 نسخههای قبل از 12.1.3 • Cisco Jabber برای ویندوز در نسخه 12.5 نسخههای قبل از 12.5.2 • Cisco Jabber برای ویندوز در نسخه 12.6 نسخههای قبل از 12.6.3 • Cisco Jabber برای ویندوز در نسخه 12.7 نسخههای قبل از 12.7.2 • Cisco Jabber برای ویندوز در نسخه 12.8 نسخههای قبل از 12.8.3 • Cisco Jabber برای ویندوز در نسخه 12.9 نسخههای قبل از 12.9.1 خلاصه فنی • وجود یک آسیبپذیری در پروتکل برنامه به دلیل عدم مدیریت صحیح ورودی، که میتواند منجر به اجرای دستور دلخواه شود. (CVE-2020-3430) • وجود یک آسیبپذیری به دلیل تایید نامناسب محتوای پیام، که به مهاجم تایید شده، اجازهی اجرای از راه دور کد دلخواه را میدهد. (CVE-2020-3495) • وجود یک آسیبپذیری به دلیل تایید نامناسب محتوای پیام، که به مهاجم تایید شده، امکان دسترسی از راه دور به اطلاعات حساس را میدهد. (CVE-2020-3498) • وجود یک آسیبپذیری به دلیل تایید نامناسب محتوای پیام، که به مهاجم تایید شده، امکان دسترسی از راه دور به اطلاعات حساس را میدهد. (CVE-2020-3537) توصیه میشود اقدامات زیر انجام شود: • به کاربران این برنامه به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی نمایند. • برای کاهش اثر حملات، تمام نرمافزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید. • به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها تهیه و تدوین: پرند صلواتی
مرکز ماهر
دانشگاه کردستان