یک آسیبپذیری حیاتی در Cisco Jabber نسخه ویندوز ممکن است به یک مهاجم احراز هویت شده، از راه دور اجازه اجرای یک کد دلخواه را بدهد.
این آسیبپذیری بخاطر تایید نادرست محتوای پیام اتفاق میافتد. یک مهاجم میتواند با ارسال Extensible Messaging دستکاری شده و Presence Protocol (XMPP) از این آسیبپذیری سواستفاده کرده و نرمافزار را تحت تاثیر قرار دهد. سواستفاده موفق این امکان را به مهاجم میدهد تا باعث شود نرمافزار برنامههای دلخواه را در سیستم هدف با امتیازات حساب کاربری نرمافزار Cisco Jabber اجرا کند که احتمالا منجر به اجرای کد دلخواه خواهد شد.
شرکت Cisco نسخههای بروزرسانی شدهای را منتشر کرده که به این آسیبپذیری رسیدگی میکند. هیچگونه راهحل جایگزین برای رفع این مشکل نیست.
محصولات آسیبپذیر
این آسیبپذیری Cisco Jabber نسخه Windows را تحت تاثیرقرار میدهد اگر در حالا جرای نسخه آسیبپذیر نرمافزار باشد. برای اطلاع از آینکه کدام نسخه از نرمافزارهای Cisco آسیبپذیر هستند، بخش نسخه نرمافزاری اصلاح شده در این مطلب را نگاه کنید.
محصولاتی که عدم آسیبپذیری آنها تایید شده
تنها محصولات لیستشده در بخش محصولات آسیبپذیر این مطلب به عنوان محصولات تحت تاثیر این آسیبپذیری شناخته میشوند.
این آسیبپذیری، Cisco Jabber نسخه MacOS یا پلتفرمهای سیار را تحت تاثیر قرار نمیدهد.
جزئیات آسیبپذیری
به منظور سواستفاده از این آسیبپذیری، یک مهاجم باید بتواند پیامهای XMPP را به سیستمهای End-User که Cisco Jabber را برای Windows اجرا میکنند ارسال کند. مهاجمان ممکن است به دسترسی به دامین XMPP یکسان یا روشهای دیگر دسترسی نیاز داشته باشند تا بتوانند به سرویس گیرندگان پیامی ارسال کنند.
در نتیجه سواستفاده، یک مهاجم ممکن است باعث شود تا برنامه کاربردی یک کد دلخواه اجراشدنی را اجرا کند که از پیش درون مسیر فایل Local برنامه کاربردی قرار دارد. این کد در سیستم End-User با امتیازات کاربری که استفاده از Cisco Jabber را آغاز کرده اجرایی میشود.
سیستمهایی که تنها در حالت Phone و بدون سرویسهای فعال XMPP از Cisco Jabber استفاده میکنند در برابر این سواستفاده آسیبپذیر نیستند. به علاوه، زمانی که Cisco Jabber پیکربندی شود تا بجای پیامهای XMPP از خدمات پیامرسان استفاده کند، این آسیبپذیری قابل سواستفاده نیست.
راه حل جایگزین
هیچ راه حل جایگزینی برای رسیدگی به این آسیبپذیری وجود ندارد
نسخه نرمافزاری اصلاح شده
شرکت Cisco پنج نسخه بروزرسانی شده را منتشر کرده که به آسیبپذیری اشاره شده در این مطلب رسیدگی کرده است. مشتریان احتمالا تنها نرمافزار را نصب میکنند و انتظار پشتیبانی برای نسخههای نرمافزاری و تنظیماتی را دارند که برای آنها این محصول را خریداری کردهاند. با نصب، دانلود، دسترسی یا در غیر این صورت استفاده از بروزرسانیهای نرمافزاری، مشتریان بر پیروی از موارد License نرمافزاری Cisco موافقت کردهاند.
به علاوه، مشتریان ممکن است تنها نرمافزارهایی را دانلود کنند که برای آنها License معتبری دارند و مستقیما از سوی Cisco تولید شدهاند یا از طریق یک شریک یا فروشنده واسطه معتبر سیسکو خریداری شدهاند. در بیشتر موارد این امر یک بروزرسانی حفظکننده به نرمافزاری است اخیرا خریداری شده است. بروزرسانیهای رایگان امنیتی نرمافزار حق داشتن License جدید نرمافزار، تنظیمات اضافی نرمافزاری یا بروزرسانی اصلی نسخهها را به مشتریان نمیدهد.
به هنگام درنظرگیری بروزرسانیهای نرمافزاری، به مشتریان توصیه میشود تا بطور مکرر به دنبال اطلاعیههای محصولات Cisco باشند که از صفحه Cisco Security Advisories قابل دسترسی است. این امر باعث تعیین راهکار بروزرسانی کامل و حل مشکل قرارگیری در معرض خطر میشود.
در تمامی موارد، مشتریان باید اطمینان حاصل کنند که تجهیزات ملزم به بروزرسانی دارای حافظه کافی هستند و تایید کنند که پیکربندیهای کنونی نرمافزاری و سختافزاری با نسخه جدید به درستی تحت حمایت خواهند بود. اگر اطلاعات شفاف نباشد، به مشتریان توصیه میشود تا با Cisco Technical Assistance Center (TAC) یا ارائه دهنده قراردادی خود تماس حاصل کنند.
مشتریان بدون قرارداد خدماتی
مشتریانی که بطور مستقیم از Cisco خرید خود را انجام میدهند اما دارای قرارداد سرویس Cisco نیستند و یا مشتریانی که خرید خود را از طریق Vendorهای شخص ثالث انجام میدهند اما در دریافت یک نرمافزار اصلاح شده از طریق خرید خود ناموفق هستند باید بروزرسانی خود را از طریق تماس با Cisco TAC انجام دهند.
مشتریان باید شماره سریال محصول خود را دارا باشند و آماده باشند تا URL این مطلب را به عنوان سند حق بروزرسانی رایگان ارائه دهند.
نسخههای اصلاح شده
به مشتریان توصیه میشود تا طبق جدول زیر به یک نسخه اصلاح شده ارتقا یابند:
|
Cisco Jabber برای Windows نسخه اصلاح شده | |
|
12.1 |
12.1.3 |
|
12.5 |
12.5.2 |
|
12.6 |
12.6.3 |
|
12.7 |
12.7.2 |
|
12.8 |
12.8.3 |
|
12.9 |
12.9.1 |
