Cisco ha informado alertado de dos vulnerabilidades detectadas en los clientes de reproducción presente en algunas suites de la familia WebEx, que permitirían la ejecución remota de código o la descarga arbitraria de archivos.
WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Los dos problemas anunciados se refieren a la funcionalidad de transferencia o intercambio de archivos entre clientes. La primera vulnerabilidad tiene asignado el CVE-2014-3310, podría permitir a un atacante remoto sin autenticar acceder a archivos arbitrarios de cualquier otro usuario que ejecute el cliente Cisco WebEx Meetings.
Un segundo problema, con CVE-2014-3311, consiste en un desbordamiento de búfer debido a que el cliente no verifica adecuadamente los límites de los datos transmitidos. Podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario en sistema de otro usuario que ejecute el cliente Cisco WebEx Meetings.
Estas vulnerabilidades están consideradas por Cisco como de gravedad baja o media, por lo que no ofrece actualizaciones gratuitas para estos problemas. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Cisco WebEx Meetings Client Arbitrary File Download Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3310
Cisco WebEx Meetings Client Heap-Based Buffer Overflow Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3311
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Compártelo: