Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Cisco Jabber: Remote Code Execution con Severity 9.9.

Cisco Jabber: Remote Code Execution con Severity 9.9.

12 Dicembre 2020 08:00

#Cisco ha aggiornato la sua applicazione di messaggistica e conferenza #Jabber contro una #vulnerabilità critica che ha consentito agli aggressori di eseguire #codice dannoso #wormable senza che fosse richiesta alcuna interazione dell’utente. 

La vulnerabilità, rivelata per la prima volta a settembre, era il risultato di diversi difetti scoperti dai #ricercatori della società di sicurezza #Watchcom #Security. 

Il difetto consiste in un mancato filtraggio degli elementi potenzialmente dannosi contenuti nei messaggi inviati dagli utenti. Il filtro era basato su una #blocklist incompleta che poteva essere aggirata utilizzando l’attributo “onanimationstart”.

Advertising

I messaggi che contenevano l’attributo potevamo essere passati direttamente al #DOM di un #browser basato su #Chromium Embedded Framework, che eseguiva tutti gli #script che superavano il filtro, oltre a superare la #sandbox utilizzando la funzione chiamata #CallCppFunction.

Questa settimana abbiamo avuto 2 gravi #RCE sui principali sistemi di video conferenze.

#redhotcyber #cybersecurity #hacking #hacker #technology

https://arstechnica.com/information-technology/2020/12/wormable-zero-click-vulnerability-in-cisco-jabber-gets-patched-a-second-time/?amp=1


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks