思科修补Jabber Windows用户端软件App重大漏洞

思科本周释出安全更新，以修补整合通讯平台Jabber的Windows、Mac及Android、iOS版用户端软件的5项漏洞，包括一个风险层级高达9.9的重大漏洞。

Jabber为思科旗下的整合通讯系统（Unified Communication），可提供即时传讯、语音与视讯电话、语音讯息、桌面共享、线上会议及临场（presence）等服务。本周修补的5个漏洞中都是出现软件验证XMPP讯息不当，让攻击者传送恶意XMPP讯息开采。

其中最严重的是CVE-2021-1411。成功开采可让攻击者在装置上的Jabber Windows用户端软件，以用户账号权限执行任意程式码。本漏洞仅影响Windows桌机版本。

其余4项漏洞风险分别是中到高度等级，包括可造成任意程式码执行的CVE-2021-1469（7.2）、泄露隐私资讯的CVE-2021-1417（6.5）、 使远端攻击者得以拦截流量的CVE-2021-1471（5.6）以及可让骇客引发阻断服务（DoS）攻击的CVE-2021-1418（4.3）

这5个漏洞全部都影响Cisco Jabber for Windows用户端软件。MacOS及Android、iOS版软件，则受到CVE-2021-1418及CVE-2021-1471的影响。

思科表示尚未发现这些漏洞被开采的活动迹象。思科已经释出更新版本，也呼吁用户尽速安装。