Cisco
ha informado alertado de dos vulnerabilidades detectadas en los clientes de
reproducción presente en algunas suites de la familia WebEx, que permitirían la
ejecución remota de código o la descarga
arbitraria de archivos.
WebEx es un sistema para la
realización de reuniones online como si se llevaran a cabo de forma presencial,
con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar
productos y servicios, etc. así como realizar grabaciones de las mismas.
Los dos problemas anunciados se
refieren a la funcionalidad de transferencia o intercambio de archivos entre
clientes. La primera
vulnerabilidad tiene asignado el CVE-2014-3310, podría permitir a un
atacante remoto sin autenticar acceder a archivos arbitrarios de cualquier otro
usuario que ejecute el cliente Cisco WebEx Meetings.
Un
segundo problema, con CVE-2014-3311, consiste en un desbordamiento de búfer
debido a que el cliente no verifica adecuadamente los límites de los datos
transmitidos. Podría permitir a un atacante remoto sin autenticar ejecutar
código arbitrario en sistema de otro usuario que ejecute el cliente Cisco WebEx
Meetings.
Estas vulnerabilidades están
consideradas por Cisco como de gravedad baja o media, por lo que no ofrece
actualizaciones gratuitas para estos problemas. Los usuarios afectados deberán
contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Cisco WebEx Meetings Client
Arbitrary File Download Vulnerability
Cisco WebEx Meetings Client Heap-Based Buffer
Overflow Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario