思科修補Jabber Windows用戶端軟體App重大漏洞

思科本周釋出安全更新，以修補整合通訊平臺Jabber的Windows、Mac及Android、iOS版用戶端軟體的5項漏洞，包括一個風險層級高達9.9的重大漏洞。

Jabber為思科旗下的整合通訊系統（Unified Communication），可提供即時傳訊、語音與視訊電話、語音訊息、桌面共享、線上會議及臨場（presence）等服務。本周修補的5個漏洞中都是出現軟體驗證XMPP訊息不當，讓攻擊者傳送惡意XMPP訊息開採。

其中最嚴重的是CVE-2021-1411。成功開採可讓攻擊者在裝置上的Jabber Windows用戶端軟體，以用戶帳號權限執行任意程式碼。本漏洞僅影響Windows桌機版本。

其餘4項漏洞風險分別是中到高度等級，包括可造成任意程式碼執行的CVE-2021-1469（7.2）、洩露隱私資訊的CVE-2021-1417（6.5）、 使遠端攻擊者得以攔截流量的CVE-2021-1471（5.6）以及可讓駭客引發阻斷服務（DoS）攻擊的CVE-2021-1418（4.3）

這5個漏洞全部都影響Cisco Jabber for Windows用戶端軟體。MacOS及Android、iOS版軟體，則受到CVE-2021-1418及CVE-2021-1471的影響。

思科表示尚未發現這些漏洞被開採的活動跡象。思科已經釋出更新版本，也呼籲用戶儘速安裝。