Cisco ha publicado un boletín con múltiples vulnerabilidades en WebEx Player que podrían permitir a un atacante remoto realizar una denegación de servicio y, potencialmente, ejecutar código arbitrario.

WebEx proporciona herramientas para realizar reuniones online, conferencias web y videoconferencias, y compartir archivos. Pero su uso no se limita al sector empresarial sino que también es muy utilizado para tareas educativas mediante seminarios web sobre diversos temas tanto en tiempo real como a través de grabaciones de los eventos en formato WRF o ARF.

Existen cuatro vulnerabilidades en el reproductor WebEx para archivos .WRF (Recording Format) y una para archivos .ARF (Advanced Recording Format).  Todas las vulnerabilidades podrían causar un desbordamiento de memoria intermedia y ser aprovechadas por un atacante remoto para llevar a cabo una denegación de servicio y, potencialmente, ejecutar código arbitrario con los permisos del usuario que ejecuta WebEx.

Para aprovechar estas vulnerabilidades únicamente se necesita convencer a un usuario para que reproduzca una grabación en formato WRF o ARF especialmente manipulada.

Dichas vulnerabilidades son debidas a los siguientes errores:

* CVE-2012-3053:
Error no especificado al procesar ficheros ARF.

* CVE-2012-3054 y CVE-2012-3056:
Errores no especificados al procesar ficheros WRF.

* CVE-2012-3055:
Error de comprobación de límites del segmento DHT (tabla Huffman) en archivos JPEG al procesar ficheros WRF.

* CVE-2012-3057:
Error relacionado con el tamaño del archivo de audio al procesar ficheros WRF.

Cisco ha liberado nuevas versiones de WebEx Player para plataformas Microsoft Windows, Apple Mac, y Linux, que corrigen las vulnerabilidades anteriores. Están disponibles para su descarga desde la página oficial.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/06/multiples-vulnerabilidades-en-cisco.html#comments

Más información:

Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120627-webex

CVE-2012-3053: Cisco WebEx Advanced Recording Format Player Arbitrary Code Execution Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=26205

CVE-2012-3054: Cisco WebEx Recording Format Player WRF File Heap Overflow Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=26206

CVE-2012-3055: Cisco WebEx Recording Format Player JPEG DHT Chunk Stack Buffer Overflow Vulnerability
 http://tools.cisco.com/security/center/viewAlert.x?alertId=26207

CVE-2012-3056: Cisco WebEx Recording Format Player Memory Corruption Arbitrary Code Execution Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=26209

CVE-2012-3056: Cisco WebEx Player Audio File Processing Arbitrary Code Execution Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=26210

Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar