Falha de segurança grave deixa o BlackBerry Enterprise Server como presa fácil para atacantes

Sabe o BlackBerry, o celular smartphone seguro, campeão no quesito privacidade? A escolha do próprio presidente norte-americano Barack Obama? Preferido por políticos, empresários e, quem sabe, até você mesmo? Pois bem, o seu “BB” pode não estar tão seguro assim.

Ontem (12/08/2011) a RIM, fabricante do BlackBery, publicou uma nota recomendativa de segurança (security advisory), onde ela informa o público de falhas de segurança facilmente exploráveis no BlackBerry Enterprise Server (BES), software servidor instalado no provedor de serviços responsável por habilitar os recursos especiais do BlackBerry .

As falhas se encontram em dois componentes do BES, responsáveis pelo processamento para renderização no BackBerry de imagens dos tipos PNG e TIFF, a saber:

  • BlackBerry® Mobile Data System – Connection Service:  responsável por processar imagens em páginas web que são requisitadas pelo navegador do BlackBerry.
  • BlackBerry® Messaging Agent: responsável por processar imagens em mensagens de email.

As vulnerabilidades relatadas são de exploração remota e permitem a execução de código no contexto do sevidor BES, mas o que mais impressiona são os vetores de ataque. Um deles, por exemplo, permite que uma simples mensagem de email com uma imagem maliciosa em aenxo enviada para qualquer usuário de BlackBerry servido pelo BES seja o suficiente para que um atacante invada o servidor e possivelmente até a rede inteira. E nem é necessário que essa mensagem seja sequer aberta pelo destinatário.

A falha é classificada pelo Common Vulnerability Scoring System (CVSS) com nota máxima (10.0, Alta Severidade) e já possui patch de correção disponível.

Ficou com medo? Então, certifique-se já de que o administrador da rede de seu provedor já fez a atualização necessária. Do contrário, o seu BlackBerry pode estar em maus lençóis.

 

Veja aqui as versões do EBS afetadas:

  • BlackBerry® Enterprise Server da versão 5.0.1 até a 5.0.3 MR2 (para Microsoft Exchange)
  • BlackBerry® Enterprise Server da versão 5.0.1 até a 5.0.3 MR2 (para IBM Lotus Domino)
  • BlackBerry® Enterprise Server versão 4.1.7 e da versão 5.0.1 até a 5.0.1 MR3 (para Novell GroupWise)
  • BlackBerry® Enterprise Server Express version da versão 5.0.1 até a 5.0.3 (para Microsoft Exchange)
  • BlackBerry® Enterprise Server Express versões 5.0.2 e  5.0.3 (para IBM Lotus Domino)

 

 

Esta entrada foi publicada em Security e marcada com a tag , , , , , . Adicione o link permanente aos seus favoritos.