Múltiples vulnerabilidades en Cisco WebEx Player

Cisco ha publicado un boletín con múltiples vulnerabilidades en WebEx

Player que podrían permitir a un atacante remoto realizar una denegación
de servicio y, potencialmente, ejecutar código arbitrario.

WebEx proporciona herramientas para realizar reuniones online,
conferencias web y videoconferencias, y compartir archivos. Pero su uso
no se limita al sector empresarial sino que también es muy utilizado
para tareas educativas mediante seminarios web sobre diversos temas
tanto en tiempo real como a través de grabaciones de los eventos en
formato WRF o ARF.

Existen cuatro vulnerabilidades en el reproductor WebEx para archivos
.WRF (Recording Format) y una para archivos .ARF (Advanced Recording
Format). Todas las vulnerabilidades podrían causar un desbordamiento
de memoria intermedia y ser aprovechadas por un atacante remoto para
llevar a cabo una denegación de servicio y, potencialmente, ejecutar
código arbitrario con los permisos del usuario que ejecuta WebEx. Para
aprovechar estas vulnerabilidades únicamente se necesita convencer a
un usuario para que reproduzca una grabación en formato WRF o ARF
especialmente manipulada.

Dichas vulnerabilidades son debidas a los siguientes errores:

* CVE-2012-3053: Error no especificado al procesar ficheros ARF.

* CVE-2012-3054 y CVE-2012-3056: Errores no especificados al procesar
ficheros WRF.

* CVE-2012-3055: Error de comprobación de límites del segmento DHT
(tabla Huffman) en archivos JPEG al procesar ficheros WRF.

* CVE-2012-3057: Error relacionado con el tamaño del archivo de audio al
procesar ficheros WRF.

Cisco ha liberado nuevas versiones de WebEx Player para plataformas
Microsoft Windows, Apple Mac, y Linux, que corrigen las vulnerabilidades
anteriores. Están disponibles para su descarga desde la página oficial.
 Fuente