Sicherheit

Lücken im Blackberry Enterprise Server

von - 20.02.2013
Sicherheitslücken im Blackberry Enterprise Server
Blackberry warnt vor zwei kritischen Lücken, über die Angreifer auf Blackberry Enterprise Servern beliebigen Code ausführen können. Das Unternehmen hat bereits ein Sicherheitsupdate bereitgestellt.
Blackberry hat ein Update auf die Version 5.0.4 MR2 veröffentlicht. Damit schließt das Unternehmen zwei kritische Sicherheitslücken mit der Bezeichnung CVE-2012-2088 und CVE-2012-4447 im MDS Connection Service sowie im Messaging Agent. Beide Lücken ermöglichen Angreifern, beliebigen Code auf den Enterprise Servern von Blackberry auszuführen. Darüber hinaus ist es unter Umständen möglich, auf weitere Blackberry-Dienste zuzugreifen. Die Voraussetzung für einen Angriff ist es, dass ein Nutzer per Link auf eine infizierte Webseite gelangt oder eine E-Mail mit einer speziell präparierten TIFF-Datei öffnet. Auf diese Weise geht zwar vom Blackberry-Smartphone selbst keine Gefahr aus, jedoch wird es von den Angreifern als Mittel zum Zweck missbraucht. Der Fehler selbst betrifft die Datei Image.DLL, eine Bibliothek für die Verarbeitung von Bilddateien. Offenbar haben der MDS Connection Service und der Messaging Agent Probleme beim Rendern der TIFFs für die Smartphones. Die Sicherheitsexperten haben die Sicherheitslücken beseitigt, indem sie die DLL per Update gegen eine Version austauschten, die nicht anfällig ist.
Laut Blackberry sind die Enterprise Server Express Versionen 5.0.4 und früher für Microsoft Exchange, IBM Lotus Domino und Novell Groupwise betroffen. Darüber hinaus sollen auch ältere Versionen anfällig sein, für die es keine Updates mehr vom Hersteller gibt.
Die Experten von Blackberry empfehlen den Nutzern, das Update auf Version 5.0.4 MR2 auf allen Systemen zu installieren, die den MDS Connection Service sowie den Messaging Agent verwenden. Sollte dies nicht möglich sein, lässt sich das Problem durch Abschalten der serverseitigen Kompression beseitigen.
Verwandte Themen