TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
สำหรับผู้ที่ใช้งานระบบ Cisco Unified Communications System นั้น ทาง Cisco ได้ออกมาประกาศพบช่องโหว่บน Cisco Emergency Responder (CER) ที่มีหน้าที่ส่งตำแหน่งของโทรศัพท์เครื่องที่แจ้งเหตุฉุกเฉิน และติดตามตำแหน่งของผู้ใช้งาน ซึ่งมีช่องโหว่ Cross Site Scripting (XSS) ให้ถูกโจมตีได้
ช่องโหว่นี้เกิดจากการ Validate ค่า Input บนระบบ Web Server ไม่เพียงพอ และผลต่อเนื่องจากการโจมตีด้วย XSS ได้สำเร็จก็อาจนำไปสู่การสั่ง Execute โค้ดบางอย่างเพื่อเข้าถึงข้อมูลสำคัญบางส่วนในระบบได้
Cisco Emergency Responder รุ่นที่ได้รับผลกระทบคือ 11.5(0.99833.5) และปัจจุบันยังไม่มี Patch ออกมา ดังนั้นผู้ใช้งานควรระมัดระวังและติดตามข่าวสารอัพเดต Patch จาก Cisco อย่างต่อเนื่องนะครับ
ที่มา: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160215-er
