Blackberry schließt kritische TIFF-Lücken in Enterprise Server

Blackberry hat ein Update für Blackberry Enterprise Server (BES) veröffentlicht, das zwei als „kritisch“ eingestufte Sicherheitslücken schließt. Nach Angaben des Unternehmens können sie mit manipulierten TIFF-Dateien ausgenutzt werden, die beispielsweise per E-Mail an ein Blackberry-Smartphone geschickt werden.

Die Fehler stecken einem Advisory zufolge in zwei Diensten des Blackberry Enterprise Server, die für das Rendering der Grafik-Dateien auf den Mobiltelefonen des kanadischen Herstellers zuständig sind. Blackberry Mobile Data System (MDS) Connection Service verarbeitet TIFF-Dateien auf Websites, während der Blackberry Messaging Agent diese Aufgabe in E-Mails erledigt.

„Diese Anfälligkeiten könnten es einem Angreifer erlauben, Schadcode mit den Rechten des BES-Log-in-Kontos auszuführen“, warnt Blackberry. Um den Fehler in MDS ausnutzen, müsste ein Anwender dazu verleitet werden, einen Link zu einer speziell präparierten Website anzuklicken. Im Fall des Blackberry Messaging Agent muss eine E-Mail mit einer eingebetteten TIFF-Datei oder auch eine entsprechende Sofortnachricht lediglich verschickt werden.

„Der Nutzer muss nicht auf einen Link oder ein Bild klicken oder sich eine E-Mail oder Sofortnachricht anschauen, damit der Angriff in diesem Szenario erfolgreich ist“, heißt es in der Sicherheitswarnung über die Lücke im Messaging Agent.

Betroffen sind BES Express 5.0.2 bis 5.0.4 für Microsoft Exchange und IBM Lotus Domino, BES 5.02 bis 5.0.4 für Exchange und Domino sowie BES 5.0.1 bis 5.0.4 für Novell Groupwise. Aufgrund der Schwere der Schwachstellen rät Blackberry allen Kunden, ihre BES-Installation auf die Version 5.0.4 MR2 zu aktualisieren. Alternativ steht ein separater Sicherheitspatch zur Verfügung. Laut Herstellerangaben werden die Schwachstellen bisher nicht aktiv ausgenutzt.

[mit Material von Liam Tung, ZDNet.com]