[English]Der Netzwerkausrüster Cisco hat eine aktualisierte Version seiner Videokonferenz- und Messaging-Anwendung Jabber für Windows veröffentlicht. Das Update schließt vier kritische Schwachstellen, die einem Angreifer die Ausführung von beliebigem Code, Remote Code Execution (RCE), ermöglichen könnten. Es reicht das Versenden speziell gestalteter Chat-Nachrichten, entweder in Gruppen-Chats oder direkt an bestimmte Benutzer. Es ist keine Benutzerinteraktion erforderlich, und die Schwachstelle kann selbst dann ausgenutzt werden, wenn Cisco Jabber im Hintergrund läuft.
Anzeige
Über Cisco Jabber
Cisco Jabber ist eine Anwendung für Videokonferenzen und Instant Messaging. Sie wird hauptsächlich für die interne Kommunikation verwendet, kann aber auch zum Chatten, Anrufen oder Durchführen von Besprechungen mit Personen außerhalb der Organisation verwendet werden. Heutzutage arbeiten viele Menschen von zu Hause aus, und Anwendungen wie Cisco Jabber sind zur Kommunikation in Teams unerlässlich. Das macht solche Anwendungen zu einem immer attraktiveren Ziel für Angreifer. Viele sensible Informationen werden über Videoanrufe oder Sofortnachrichten ausgetauscht, und die Anwendungen werden von der Mehrheit der Mitarbeiter genutzt, auch von solchen mit privilegiertem Zugang zu anderen IT-Systemen.
Vier Schwachstellen in Cisco Jabber
In Jabber gibt es vier kritische RCE-Schwachstellen, die aber per Update gepatcht wurden. Die Schwachstellen wurden von der norwegischen Cybersicherheitsfirma Watchcom während eines Pentests aufgedeckt. Betroffen sind alle derzeit unterstützten Versionen des Jabber-Clients (12.1 bis 12.9).
- CVE-2020-3495: Cisco Jabber Message Handling Arbitrary Code Execution (CVSS 9.9)
- CVE-2020-3430: Cisco Jabber Protocol Handler Command Injection (CVSS 8.0)
- CVE-2020-3498: Cisco Jabber Information Disclosure (CVSS 6.5)
- CVE-2020-3537: Cisco Jabber Universal Naming Convention Link Handling (CVSS 5.7)
Zwei der vier Bugs können für Remote Code Execution (RCE) auf den Zielsystemen ausgenutzt werden. Es reicht, speziell gestaltete Chat-Nachrichten in Gruppengesprächen oder an bestimmte Personen zu senden. Der schwerwiegendste Fehler ist ein Fehler (CVE-2020-3495, CVSS-Score 9,9), der durch unsachgemäße Validierung von Nachrichteninhalten verursacht wird und von einem Angreifer ausgenutzt werden könnte, indem er böswillig gestaltete XMPP-Nachrichten (Extensible Messaging and Presence Protocol) an die betroffene Software sendet.
Die ersten drei Schwachstellen wurden am 17. Juni 2020 entdeckt und an Cisco gemeldet. Am 2. September 2020 hat Cisco Patches für die betroffene Software veröffentlicht. Daher wurden die Schwachstellen jetzt öffentlich bekannt gegeben. Details zu den Schwachstellen lassen sich im Bericht der Cybersicherheitsfirma Watchcom nachlesen. Cisco hat den Sicherheitshinweis Cisco Jabber for Windows Message Handling Arbitrary Code Execution Vulnerability dazu herausgegeben. (via)
Anzeige
Anzeige