COSIG-2016-34

COSIG-2016-34

#####################################################################################
# Application: Cisco Webex Player
# Plateformes: Windows
# Versions: Cisco Webex Meeting Player version T29.10
# Auteur: Francis Provencher du COSIG
# Site Web: https://cosig.gouv.qc.ca/avis/
# Twitter: @COSIG_
# Date: 31 août 2016
# CVE-2016-1415
# COSIG-2016-34
#####################################################################################
1) Introduction
2) Rapport de Coordination
3) Détails techniques
4) Preuve de concept
#####################################################################################
===============
1) Introduction
===============
WebEx Communications Inc. est une société américaine offrant des services logiciels de visioconférence et de web conférence à la demande. En 2015, elle est détenue par Cisco. Elle commercialise notamment Meeting Center, Training Center, Event Center, Support Center, Sales Center, WebEx WebOffice et WebEx Connect1.
(https://fr.wikipedia.org/wiki/WebEx)
#####################################################################################
============================
2) Rapport de Coordination
============================
2016-05-25: Francis Provencher du COSIG rapporte cette vulnérabilité au PSIRT de Cisco;
2016-06-07: Le PSIRT de Cisco confirme cette vulnérabilité;
2016-08-09: Cisco publie un correctif;
2016-08-09: Le COSIG publie cet avis;
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-meetings-player
#####################################################################################
============================
3) Détails techniques
============================
La vulnérabilité permet à un attaquant distant d’exécuter du code malicieux ou d’accéder à des parties de mémoire allouées dynamiquement à l’aide de l’interaction d’un utilisateur qui ouvre un fichier ARF spécialement conçu.
#####################################################################################
====================
4) Preuve de concept
====================
COSIG-2016-34
####################################################################################