domingo, 8 de septiembre de 2013

Ejecución remota de código en Cisco WebEx Player

Cisco Systems ha alertado de importantes vulnerabilidades detectadas en el módulo cliente de reproducción presente en algunas suites de la familia WebEx, que permitirían la ejecución remota de código y afectan a múltiples versiones y plataformas (PC, MAC y Linux).

WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Un total de cinco vulnerabilidades, reportadas por iDefense y por Microsoft Vulnerability Research (MSVR), presentes en el reproductor (WebEx Player) a través de los formatos Cisco WebEx Recording Format (WRF) y Advanced Recording Format (ARF). Estos formatos son los utilizados por WebEx para la reproducción de las emisiones y contenido multimedia grabado o editado en una reunión online.

Según este boletín de seguridad, sufrirían de diferentes denegaciones de servicio por corrupción de memoria, tanto ARF (CVE-2013-1115 y CVE-2013-1116) como WRF (CVE-2013-1117, CVE-2013-1118, CVE-2013-1119). Los problemas podrían llegar a provocar la ejecución remota de código a través de la distribución (mediante email o websites) y posterior reproducción de contenido ARF/WRF especialmente manipulado.

Las versiones afectadas de la familia Cisco WebEx Business Suite, Cisco WebEx 11, y Cisco WebEx Meetings Server son las siguientes:
  • Cisco WebEx Business Suite (WBS28) versiones cliente anteriores a T28.8 (28.8)
  • Cisco WebEx Business Suite (WBS27) versiones cliente anteriores a T27LDSP32EP16 (27.32.16)
  • Cisco WebEx 11, 1.2 SP6 (1.2.6.0) con versiones cliente anteriores a T28.8 (28.8)
  • Cisco WebEx Meetings Server con versiones cliente anteriores a T27L10NSP32_ORION111
Aunque no existen exploits conocidos hasta el momento, se recomienda actualizar las versiones afectadas a la última versión disponible:

Más información:

Multiple Vulnerabilities in the Cisco WebEx Recording Format and Advanced Recording Format Players (cisco-sa-20130904-webex)


José Mesa Orihuela


No hay comentarios:

Publicar un comentario en la entrada