Канадский производитель смартфонов BlackBerry компания Research in Motion сообщил об устранении критически опасного бага в серверном программном обеспечении BlackBerry Enterprise Server. Баг позволял передавать пользователям смартфонов BlackBerry передавать графические сообщения со встроенным злонамеренным программным обеспечением.
Согласно принятой в компании системе рейтинга багов Common Vulnerability Scoring System устраненный баг был оценен в 10 баллов из 10 возможных, что у платформы BlackBerry бывает довольно редко. Как сообщили в компании, баг касался внутреннего программного обеспечения в BlackBerry OS, которое отвечало за обработку графических файлов PNG и TIFF, а также за их рендеринг на смартфонах.
Атакующий мог использовать уязвимость через специально написанный эксплоит, встраивая злонамеренную ссылку в изображение. Далее это изображение можно было передать в клиент электронной почты BlackBerry или иным способом передать на смартфон. Интересно отметить, что пользователю BlackBerry было не нужно нажимать или каким-то еще способом обрабатывать ссылку, чтобы она сработала - ОС это делала сама автоматически.
После того, как происходила активация ссылки атакующий мог загрузить в смартфон свою программу и исполнить ее с привилегиями текущего пользователя, имеющего учетную запись на BlackBerry Enterprise Server. В RIM говорят, что данный баг очень опасен и пользователям рекомендовано установить исправление как можно скорее.
Отметим, что версии BlackBerry Enterprise Server 5.0.3 MR3 для MS Exchange и IBM Lotus Domino не подвержены уязвимости.
Источник: CyberSecurity
|
