Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Критическая уязвимость межсайтового выполнения сценариев может привести к удаленному выполнению кода с повышенными привилегиями.
Через три месяца после устранения критической уязвимости в Jabber для Windows компания Cisco
Напомним, в начале сентября компания
Через несколько недель после выпуска исправлений фирма Watchcom обнаружила, что выпущенных исправлений недостаточно. Это привело к выявлению трех новых уязвимостей, одна из которых получила оценку в 9,9 балла по шкале CVSS.
Критическая уязвимость (CVE-2020-26085) межсайтового выполнения сценариев (XSS) может привести к удаленному выполнению кода на операционной системе с повышенными привилегиями.
Jabber разработан на базе Chromium Embedded Framework (CEF) и использует HTML, CSS и JavaScript для пользовательского интерфейса. Как объяснили специалисты из Watchcom, XSS-уязвимость можно использовать для осуществления побега из песочницы CEF без вмешательства пользователя. Более того, поскольку полезная нагрузка доставляется через мгновенные сообщения, уязвимость может быть червеподобной. Проблема также заключается в том, что содержимое сообщений не проверяется должным образом как в Jabber для Windows, так и в Jabber для macOS.
Также были обнаружены две менее опасные проблемы в Jabber (CVE-2020-27132 и CVE-2020-27127). Первая может привести к утечке хэшей паролей NTLM, а вторая позволяет злоумышленнику отправить произвольные вводные данные клиенту Jabber, обманом заставив пользователя щелкнуть ссылку.
Компания Cisco, в свою очередь, выявила еще две опасные проблемы в Jabber. Первая (CVE-2020-27134) получила оценку в 8,0 балла по шкале CVSS и позволяет внедрить произвольный скрипт в Jabber для Windows и Jabber для macOS. Требуя взаимодействия с пользователем, уязвимость может привести к выполнению произвольных программ или утечке конфиденциальной информации.
Вторая проблема (CVE-2020-27133) получила оценку в 8,8 балла по шкале CVSS и затрагивает версию Jabber для Windows. Ее эксплуатация может привести к выполнению произвольных команд. Злоумышленнику необходимо убедить пользователя перейти по специальной ссылке.
Через три месяца после устранения критической уязвимости в Jabber для Windows компания Cisco
Для просмотра ссылки необходимо нажать
Вход или Регистрация
исправления для аналогичной уязвимости в клиенте видеоконференцсвязи и обмена мгновенными сообщениями.Напомним, в начале сентября компания
Для просмотра ссылки необходимо нажать
Вход или Регистрация
исправления для четырех проблем в системе быстрого обмена сообщениями Jabber, самая опасная из которых получила оценку в 9,9 балла по шкале CVSS. Ее эксплуатация позволяла злоумышленникам удаленно выполнять произвольный код с помощью специально созданных сообщений протокола XMPP.Через несколько недель после выпуска исправлений фирма Watchcom обнаружила, что выпущенных исправлений недостаточно. Это привело к выявлению трех новых уязвимостей, одна из которых получила оценку в 9,9 балла по шкале CVSS.
Критическая уязвимость (CVE-2020-26085) межсайтового выполнения сценариев (XSS) может привести к удаленному выполнению кода на операционной системе с повышенными привилегиями.
Jabber разработан на базе Chromium Embedded Framework (CEF) и использует HTML, CSS и JavaScript для пользовательского интерфейса. Как объяснили специалисты из Watchcom, XSS-уязвимость можно использовать для осуществления побега из песочницы CEF без вмешательства пользователя. Более того, поскольку полезная нагрузка доставляется через мгновенные сообщения, уязвимость может быть червеподобной. Проблема также заключается в том, что содержимое сообщений не проверяется должным образом как в Jabber для Windows, так и в Jabber для macOS.
Также были обнаружены две менее опасные проблемы в Jabber (CVE-2020-27132 и CVE-2020-27127). Первая может привести к утечке хэшей паролей NTLM, а вторая позволяет злоумышленнику отправить произвольные вводные данные клиенту Jabber, обманом заставив пользователя щелкнуть ссылку.
Компания Cisco, в свою очередь, выявила еще две опасные проблемы в Jabber. Первая (CVE-2020-27134) получила оценку в 8,0 балла по шкале CVSS и позволяет внедрить произвольный скрипт в Jabber для Windows и Jabber для macOS. Требуя взаимодействия с пользователем, уязвимость может привести к выполнению произвольных программ или утечке конфиденциальной информации.
Вторая проблема (CVE-2020-27133) получила оценку в 8,8 балла по шкале CVSS и затрагивает версию Jabber для Windows. Ее эксплуатация может привести к выполнению произвольных команд. Злоумышленнику необходимо убедить пользователя перейти по специальной ссылке.