Blackberry hat ein Update auf die
Version 5.0.4 MR2 veröffentlicht. Damit schließt das Unternehmen zwei kritische Sicherheitslücken mit der Bezeichnung
CVE-2012-2088 und
CVE-2012-4447 im
MDS Connection Service sowie im
Messaging Agent. Beide Lücken ermöglichen Angreifern, beliebigen Code auf den Enterprise Servern von Blackberry auszuführen. Darüber hinaus ist es unter Umständen möglich, auf weitere Blackberry-Dienste zuzugreifen. Die Voraussetzung für einen Angriff ist es, dass ein Nutzer per Link auf eine infizierte Webseite gelangt oder eine E-Mail mit einer speziell präparierten TIFF-Datei öffnet. Auf diese Weise geht zwar vom Blackberry-Smartphone selbst keine Gefahr aus, jedoch wird es von den Angreifern als Mittel zum Zweck missbraucht. Der Fehler selbst betrifft die Datei Image.DLL, eine Bibliothek für die Verarbeitung von Bilddateien. Offenbar haben der MDS Connection Service und der Messaging Agent Probleme beim Rendern der TIFFs für die Smartphones. Die Sicherheitsexperten haben die Sicherheitslücken beseitigt, indem sie die DLL per Update gegen eine Version austauschten, die nicht anfällig ist.
Laut Blackberry sind die Enterprise Server Express Versionen 5.0.4 und früher für Microsoft Exchange, IBM Lotus Domino und Novell Groupwise
betroffen. Darüber hinaus sollen auch ältere Versionen anfällig sein, für die es keine Updates mehr vom Hersteller gibt.
Die Experten von Blackberry empfehlen den Nutzern, das Update auf
Version 5.0.4 MR2 auf allen Systemen zu installieren, die den MDS Connection Service sowie den Messaging Agent verwenden. Sollte dies nicht möglich sein, lässt sich das Problem durch Abschalten der serverseitigen Kompression beseitigen.