Avisos 28 de June, 2012

Actualitzacions de Cisco WebEx

El fabricant Cisco Systems ha publicat un butlletí de seguretat per solucionar cinc vulnerabilitats critiques als seu productes de vídeoconferencia WebEx, que permeten l'execució de codi de manera remota.

Impacte
Execució remota de codi.


Productes afectats
•    Reproductors Cisco WebEx WRF (WebEx Recording Format) i ARF (Advanced Recording Format), inclosos a les següents versions del Cisco WebEx Business Suite (WBS 27 i WBS 28):
o    Clients 28.0.0 (T28 L10N)
o    Clients 27.32.1 (T27 LD SP32 CP1) i anteriors
o    Clients 27.25.10 (T27 LC SP25 EP10) i anteriors
o    Clients 27.21.10 (T27 LB SP21 EP10) i anteriors
o    Clients 27.11.26 (T27 L SP11 EP26) i anteriors


•    Els reproductors WRF poden ser instal•lats automàticament quan l'usuari accedeix a un arxiu de gravació que està allotjada en un lloc de reunió de WebEx (per al mode de reproducció en streaming).


Solució
Consultar els butlletins de seguretat publicats pel fabricant i aplicar els pegats públics pels productes afectats.


Detall
•    cisco-sa-20120627-webex: els usuaris amb privilegis d'administració podrien accedir inadvertidament a un context no desitjat (instància virtual), quan dos o més comptes es troben configurades amb la mateixa IP de gestió.
o    CVE-2012-3053: execució de codi arbitrari mitjançant arxius de tipus ARF.
o    CVE-2012-3054: desbordament de memòria intermèdia de tipus heap mitjançant arxius de tipus WRF.
o    CVE-2012-3055: desbordament de memòria intermèdia a la pila en el tractament de trossos DHT a arxius JPG.
o    CVE-2012-3056: corrupció de memòria mitjançant arxius de tipus WRF .
o    CVE-2012-3057: desbordament de memòria intermèdia de tipus heap en el tractament de la mida del fitxer d'àudio a arxius de tipus WRF.


Referències
•    Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120627-webex

Publicat a: Avisos