BlackBerry schließt kritisches Lecks im Enterprise Server

MobileSicherheitSmartphone

Laut BlackBerry (vormals RIM) konnten die Lecks über manipulierte TIFF-Dateien ausgenutzt werden, beispielsweise indem man eine E-Mail an ein Blackberry-Smartphone schickt.

Blackberry hat ein Update für Blackberry Enterprise Server (BES) veröffentlicht, das zwei als “kritisch” eingestufte Sicherheitslücken schließt.

Die Fehler stecken einem Advisory zufolge in zwei Diensten des Blackberry Enterprise Server, die für das Rendering der Grafik-Dateien auf den Mobiltelefonen des kanadischen Herstellers zuständig sind. Blackberry Mobile Data System (MDS) Connection Service verarbeitet TIFF-Dateien auf Websites, während der Blackberry Messaging Agent diese Aufgabe in E-Mails erledigt.

 

Fotogalerie: Das ist das Blackberry Z10

Klicken Sie auf eines der Bilder, um die Fotogalerie zu starten

 

“Diese Anfälligkeiten könnten es einem Angreifer erlauben, Schadcode mit den Rechten des BES-Log-in-Kontos auszuführen”, warnt Blackberry. Um den Fehler in MDS ausnutzen, müsste ein Anwender dazu verleitet werden, einen Link zu einer speziell präparierten Website anzuklicken. Im Fall des Blackberry Messaging Agent muss eine E-Mail mit einer eingebetteten TIFF-Datei oder auch eine entsprechende Sofortnachricht lediglich verschickt werden.

“Der Nutzer muss nicht auf einen Link oder ein Bild klicken oder sich eine E-Mail oder Sofortnachricht anschauen, damit der Angriff in diesem Szenario erfolgreich ist”, heißt es in der Sicherheitswarnung über die Lücke im Messaging Agent.

Betroffen sind BES Express 5.0.2 bis 5.0.4 für Microsoft Exchange und IBM Lotus Domino, BES 5.02 bis 5.0.4 für Exchange und Domino sowie BES 5.0.1 bis 5.0.4 für Novell Groupwise. Aufgrund der Schwere der Schwachstellen rät Blackberry allen Anwendern, BES-Installationen auf Version 5.0.4 MR2 zu aktualisieren. Alternativ steht ein eigener Sicherheitspatch zur Verfügung. Laut Herstellerangaben würden die Schwachstellen bisher nicht aktiv ausgenutzt.

[mit Material von Liam Tung, ZDNet.com]