Ejecución remota de código en Cisco WebEx Player

Cisco Systems ha alertado de importantes vulnerabilidades detectadas

en el módulo cliente de reproducción presente en algunas suites de la
familia WebEx, que permitirían la ejecución remota de código y afectan
múltiples versiones y plataformas (PC, MAC y Linux).

WebEx es un sistema para la realización de reuniones online como si se
llevaran a cabo de forma presencial, con la posibilidad de compartir
documentos, ofrecer presentaciones, mostrar productos y servicios, etc.
así como realizar grabaciones de las mismas.

Un total de cinco vulnerabilidades, reportadas por iDefense y por
Microsoft Vulnerability Research (MSVR), presentes en el reproductor
(WebEx Player) a través de los formatos Cisco WebEx Recording Format
(WRF) y Advanced Recording Format (ARF). Estos formatos son los
utilizados por WebEx para la reproducción de las emisiones y contenido
multimedia grabado o editado en una reunión online.

Según este boletín de seguridad, sufrirían de diferentes denegaciones
de servicio por corrupción de memoria, tanto ARF (CVE-2013-1115 y
CVE-2013-1116) como WRF (CVE-2013-1117, CVE-2013-1118, CVE-2013-1119).
Los problemas podrían podrían llegar a provocar la ejecución remota
de código a través de la distribución (mediante email o websites) y
posterior reproducción de contenido ARF/WRF especialmente manipulado.

Las versiones afectadas de la familia Cisco WebEx Business Suite, Cisco
WebEx 11, y Cisco WebEx Meetings Server son las siguientes:

* Cisco WebEx Business Suite (WBS28) versiones cliente anteriores a
T28.8 (28.8)
* Cisco WebEx Business Suite (WBS27) versiones cliente anteriores a
T27LDSP32EP16 (27.32.16)
* Cisco WebEx 11, 1.2 SP6 (1.2.6.0) con versiones cliente anteriores a
T28.8 (28.8)
* Cisco WebEx Meetings Server con versiones cliente anteriores a
T27L10NSP32_ORION111

Aunque no existen exploits conocidos hasta el momento, se recomienda
actualizar las versiones afectadas a la última versión disponible:
http://www.webex.com/play-webex-recording.html
 Fuente