Cisco verhelpt zeer kritieke kwetsbaarheid in Jabber
Cisco heeft een zeer kritieke kwetsbaarheid in Jabber verholpen waardoor een aanvaller willekeurige code op het systeem van gebruikers had kunnen uitvoeren. Alleen het versturen van een speciaal geprepareerd chatbericht naar een doelwit was voldoende. Er was geen interactie van de gebruiker vereist.
Cisco Jabber is een programma dat instant messaging, desktopsharing en audio-, video- en webconferenties biedt. Het is met name bedoeld voor interne communicatie binnen organisaties, maar is ook voor het meetings met personen buiten de organisatie te gebruiken. De kwetsbaarheid in het programma, aangeduid als CVE-2020-26085, wordt op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,9 beoordeeld.
Het probleem ontstaat doordat Jabber de inhoud van berichten niet goed valideert. Door het injecteren van eigen HTML-tags in een chatbericht is cross-site scripting mogelijk die tot remote code execution kan leiden. Het bericht bevat dan een exe-bestand dat vervolgens automatisch door de client van de gebruiker wordt geaccepteerd en uitgevoerd. Volgens onderzoekers van securitybedrijf Watchcom die het probleem vonden kan een worm misbruik van de kwetsbaarheid maken, aangezien er geen interactie van gebruikers is vereist voor de verspreiding ervan.
Oplossing
Onderzoekers van Watchcom rapporteerden eerder dit jaar vier beveiligingslekken in Jabber aan Cisco. De netwerkgigant kwam in september met updates, onder andere voor een lek dat net als CVE-2020-26085 remote code execution mogelijk maakt en ook met een 9,9 werd beoordeeld. Volgens Watchcom werd met deze updates bij drie kwetsbaarheden het onderliggende probleem niet verholpen, maar alleen de "injection points" om van de beveiligingslekken misbruik te maken.
De onderzoekers vonden na het uitkomen van de updates in september nieuwe injection points waardoor Jabber-gebruikers opnieuw risico lopen. Cisco stelt dat de problemen nu met nieuwe patches zijn opgelost, maar Watchcom llat weten dat het die niet heeft gecontroleerd en daarom niet kan garanderen dat ze effectief zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.