摘要：思科最近在其出售的部分IP電話系統固件當中發現了漏洞，都有可能招致攻擊者竊聽通話。思科表示，其SPA300和SPA500系列IP小企業電話系統固件當中包含漏洞，在默認配置下會產生不正確的身份驗證。思科最近警告說，攻擊者可以通過發送特制的XML請求到受影響的設備漏洞。截至發稿，思科表示，它知道7.5.5版本系統當中存在這個漏洞，后續型號有可能存在這個漏洞。

對于企業的好消息是，攻擊者可能需要在防火墻后面訪問受信任的內部網絡，從而把XML請求發送到目標。這當然會減少攻擊成功的可能性。

目前尚無可用的補丁（一個補丁正在開發中），但在此期間思科建議管理員在存在這個漏洞的設備設置當中開啟XML執行身份驗證，只授予可信用戶的網絡訪問。管理員還可以使用堅固的防火墻策略防范外部攻擊。