Cisco ออกมาเตือนช่องโหว่ในระบบโทรศัพท์ Cisco IP Phone รุ่น SPA300/SPA500 ที่ผู้ประสงค์ร้ายสามารถดักฟังการสนทนา รวมถึงสั่งโทรออกจากเครื่องที่โดนเจาะได้

อย่างไรก็ตาม การโจมตีผ่านช่องโหว่นี้จะต้องเข้าถึงเครือข่ายผ่านในบริษัท (หลังไฟร์วอลล์) ให้ได้ก่อน จากนั้นถึงค่อยส่งไฟล์ XML ที่ออกแบบมาเพื่อโจมตีไปยังเครื่องโทรศัพท์นั้น เงื่อนไขนี้ทำให้โอกาสที่เครื่องจะโดนโจมตีลดลงมาก

ตอนนี้ Cisco ยังไม่ออกแพตช์แก้ และแนะนำให้แอดมินระบบเปลี่ยนค่า XML execution authentication เป็น trusted users เท่านั้น

ที่มา - Cisco, Security Week