2017-2167: Cisco Jabber: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2017-11-30 15:49)
- Neues Advisory
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein entfernter, nicht bzw. einfach authentisierter Angreifer kann zwei Schwachstellen (CVE-2017-12356, CVE-2017-12358) im Web-basierten Management-Interface von Cisco Jabber for Windows, Mac, Android und iOS ausnutzen, wenn es ihm gelingt einen Benutzer desselben zu verleiten auf einen präparierten Link zu klicken, um beliebigen Skript-Code im Kontext des Management-Interfaces auszuführen und dadurch sensitive Informationen aus dem Browser des Benutzers auszuspähen. Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle (CVE-2017-12361) in Cisco Jabber for Windows ausnutzen, um die vertrauliche Kommunikation zwischen Windows Clients zu entschlüsseln und dadurch Informationen auszuspähen, welche für weitere Angriffe verwendet werden können.
Cisco bestätigt die Schwachstellen CVE-2017-12356 und CVE-2017-12358 für Cisco Jabber for Windows, Mac, Android und iOS, führt unter 'Known Affected Releases' 10.5(2), 11.9(1) bzw. 11.9(0) auf und benennt für CVE-2017-12356 die Version 11.9(2.57651) unter 'Known Fixed Releases' (siehe referenzierte Cisco Bug ID CSCvg56018). Für die Schwachstelle CVE-2017-12361 werden die Cisco Jabber for Windows Releases 11.8(0), 11.8(1), 11.8(2) und 11.8(3) unter 'Known Affected Releases' aufgeführt und die Version 11.9(0.54450) unter 'Known Fixed Releases' (siehe referenzierte Cisco Bug ID CSCve44806). Alle Bug IDs haben den Status 'Fixed'.
Schwachstellen:
CVE-2017-12356
Schwachstelle in Cisco Jabber ermöglicht Cross-Site-Scripting-AngriffCVE-2017-12358
Schwachstelle in Cisco Jabber ermöglicht Cross-Site-Scripting-AngriffCVE-2017-12361
Schwachstelle in Cisco Jabber ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.