Schlagwort: BlackBerry

Kritische Sicherheitslücke macht Update für Nutzer des BlackBerry Enterprise Servers notwendig

21. Februar 2013

Das kanadische Unternehmen BlackBerry (früher Research in Motion), dessen Smartphones insbesondere von großen Unternehmen eingesetzt werden, hat eine Warnung mit der höchsten Dringlichkeitsstufe für seine Blackberry Entererprise Server Software ausgegeben. Auf Grund einer Lücke in einer verwendeten DLL Datei reicht bereits der Versand einer mit E-Mail oder SMS mit einer speziell präparierten TIFF Datei, um auf den Blackberry Enterprise Server zugreifen und dort Code ausführen zu können. Die fehlerhafte DLL, welche vom BlackBerry MDS Connection Service und BlackBerry Messaging Agent verwendet wird, kann dabei bereits ohne jegliche Nutzerinteraktion zur Kompromittierung des Systems führen; ein Öffnen der präparierten SMS oder E-Mails ist dabei nicht notwendig. Vor diesem Hintergrund erklärt sich auch die Einstufung der Sicherheitslücke in die höchste Gefahrenstufe.

Für folgende Versionen steht ein Update auf 5.0.4 MR2 bereit, welches die Sicherheitslücke schließt:

  • BlackBerry Enterprise Server Express 5.0.2 bis 5.0.4 für Microsoft Exchange und IBM Lotus Domino
  • BlackBerry Enterprise Server 5.0.2 bis 5.0.4 für Microsoft Exchange und IBM Lotus Domino
  • BlackBerry Enterprise Server 5.0.1 und 5.0.4 für Novell Groupwise

Um die Lücke in älteren (nicht mehr durch Support unterstützten) Versionen zu schließen, empfiehlt Blackberry ein Update auf die Versionen, für welche der Patch bereit steht. Wer ein solches (u.U. kostenpflichtiges) Update scheut, kann sich jedoch mit einem Workaround, welches die serverseitige Bildkompression deaktiviert, behelfen.