COSIG-2016-33

#####################################################################################

# Application: Cisco Webex Player
# Plateformes: Windows
# Versions: Cisco Webex Meeting Player version T29.10
# Auteur: Francis Provencher du COSIG
# Site Web: https://cosig.gouv.qc.ca/avis/
# Twitter: @COSIG_
# Date: 31 août 2016
# CVE-2016-1464
# COSIG-2016-33

#####################################################################################

1) Introduction
2) Rapport de Coordination
3) Détails techniques
4) Preuve de concept

#####################################################################################

===============

1) Introduction

===============

WebEx Communications Inc. est une société américaine offrant des services logiciels de visioconférence et de web conférence à la demande. En 2015, elle est détenue par Cisco. Elle commercialise notamment Meeting Center, Training Center, Event Center, Support Center, Sales Center, WebEx WebOffice et WebEx Connect1.

(https://fr.wikipedia.org/wiki/WebEx)

#####################################################################################

============================

2) Rapport de Coordination

============================

2016-05-25: Francis Provencher du COSIG rapporte cette vulnérabilité au PSIRT de Cisco;
2016-06-07: Le PSIRT de Cisco confirme cette vulnérabilité;
2016-08-09: Cisco publie un correctif ;
2016-08-09: Le COSIG publie cet avis;
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-meetings-player

 

#####################################################################################

============================

3) Détails techniques

============================

La vulnérabilité permet à un attaquant distant d’exécuter du code malicieux ou d’accéder à des parties de mémoire allouées dynamiquement à l’aide de l’interaction d’un utilisateur qui ouvre un fichier WRF spécialement conçu contenant une image invalide.

 

#####################################################################################

====================

4) Preuve de concept

====================

COSIG-2016-33

####################################################################################