#Cisco ha aggiornato la sua applicazione di messaggistica e conferenza #Jabber contro una #vulnerabilità critica che ha consentito agli aggressori di eseguire #codice dannoso #wormable senza che fosse richiesta alcuna interazione dell'utente. 

La vulnerabilità, rivelata per la prima volta a settembre, era il risultato di diversi difetti scoperti dai #ricercatori della società di sicurezza #Watchcom #Security. 

Il difetto consiste in un mancato filtraggio degli elementi potenzialmente dannosi contenuti nei messaggi inviati dagli utenti. Il filtro era basato su una #blocklist incompleta che poteva essere aggirata utilizzando l'attributo "onanimationstart".

I messaggi che contenevano l'attributo potevamo essere passati direttamente al #DOM di un #browser basato su #Chromium Embedded Framework, che eseguiva tutti gli #script che superavano il filtro, oltre a superare la #sandbox utilizzando la funzione chiamata #CallCppFunction.

Questa settimana abbiamo avuto 2 gravi #RCE sui principali sistemi di video conferenze.

#redhotcyber #cybersecurity #hacking #hacker #technology

https://arstechnica.com/information-technology/2020/12/wormable-zero-click-vulnerability-in-cisco-jabber-gets-patched-a-second-time/?amp=1