Cisco ha informado alertado de dos vulnerabilidades
detectadas en los clientes de reproducción presente en algunas suites de la
familia WebEx, que permitirían la ejecución remota de código o la descarga
arbitraria de archivos.
WebEx es un
sistema para la realización de reuniones online como si se llevaran a cabo de
forma presencial, con la posibilidad de compartir documentos, ofrecer
presentaciones, mostrar productos y servicios, etc. así como realizar
grabaciones de las mismas.
Detalle e Impacto de las vulnerabilidades
- Los dos problemas anunciados se refieren a la funcionalidad de transferencia o intercambio de archivos entre clientes. La primera vulnerabilidad tiene asignado el CVE-2014-3310, podría permitir a un atacante remoto sin autenticar acceder a archivos arbitrarios de cualquier otro usuario que ejecute el cliente Cisco WebEx Meetings.
- Un segundo problema, con CVE-2014-3311, consiste en un desbordamiento de búfer debido a que el cliente no verifica adecuadamente los límites de los datos transmitidos. Podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario en sistema de otro usuario que ejecute el cliente Cisco WebEx Meetings.
- Estas vulnerabilidades están consideradas por Cisco como de gravedad baja o media, por lo que no ofrece actualizaciones gratuitas para estos problemas. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
- Cisco WebEx Meetings Client Arbitrary File Download Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3310
- Cisco WebEx Meetings Client Heap-Based Buffer Overflow Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3311