Wie bereits im Juli letzten Jahres hat der BlackBerry Hersteller Research in Motion (RIM) heut erneut einen kritischen Fehler in einigen seiner Anwendungen reportet.
Erneut können präparierte PDF-Dateien nach Angaben des BlackBerry-Herstellers RIM dazu führen, dass ein Angreifer einen BlackBerry-Server unter seine Kontrolle bringen kann. Laut Fehlerbericht steckt der Fehler wieder im PDF-Distiller des Attachment-Dienstes, der PDF-Dokumente in einer E-Mail auf dem Server so aufbereitet, dass ein BlackBerry-Anwender dies auf seinem Gerät anzeigen kann. Der Fehler wird aber erst provoziert, wenn ein Anwender das PDF auf seinem BlackBerry-Handheld öffnen will. [Zitat heise.de]
Betroffen sind die Produkte BlackBerry Enterprise Server (BES), BlackBerry Professional und BlackBerry Unite.
Im Detail sind folgende Versionen betroffen:
- BlackBerry® Enterprise Server software version 4.1 Service Pack 3 (4.1.3) through 4.1 Service Pack 6 (4.1.6)
- BlackBerry® Professional Software 4.1 Service Pack 4 (4.1.4)
- BlackBerry® Unite!TM software versions earlier than 1.0 Service Pack 3 (1.0.3) bundle 28
Die ausführlichen Fehlerberichte von RIM finden Sie hier:
- Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
- Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for BlackBerry Unite
Für den BlackBerry Enterprise Server und die BlackBerry Professional Software gibt es jeweils ein Interims Service Update, Nutzer der BlackBerry Unite Software sollten umgehend auf die neueste Version updaten. Nähere Informationen zu den Updates finden Sie in den oben verlinkten Fehlerberichten. Alternativ können Sie einen der folgenden Downloadlinks nutzen:
- Hotfix für BlackBerry Enterprise Server (Service Pack 6 Interim Security Software Update 2)
- Hotfix für BlackBerry Professional (Service Pack 4b)
- Aktuelle BlackBerry Unite! Version
Als Workaround empfiehlt RIM, die Verarbeitung von PDFs im Attachment Service einfach zu deaktivieren. Eine genaue Anleitung ist in den oben verlinkten Fehlerberichten zu finden.
Da RIM für die Sicherheitslücken im Common Vulnerability Scoring System (CVSS) einen Wert von 9.3 von 10 angibt, sollten Administratoren schnell handeln.
Weitere interessante Artikel:
- Erneute PDF-Lücke im BlackBerry Enterprise Server
- Kritischer Fehler im Blackberry Enterprise Server
- News in Sachen BlackBerry Enterprise Server
- BlackBerry Enterprise Server 4.1.5 erhältlich
- BlackBerry Enterprise Server Compatibility Matrix
- Kritische Lücke in BlackBerry Desktop Manager
- Schon wieder PDF-Lücke in RIM-Software
Kommentare