BlackBerry Enterprise Server уязвим к атакам вредоносными TIFF-изображениями
Успешная эксплуатация одной из брешей в почтовом ПО не требует даже того, чтобы пользователь открывал вредоносное сообщение.
Разработчики BlackBerry опубликовали детали критических уязвимостей, обнаруженных ранее в компонентах BlackBerry Enterprise Server (BES). Эти бреши позволяют потенциальным злоумышленникам выполнить произвольный код на системах, находящихся под управлением данной платформы.
Как уточняют эксперты, уязвимость существует из-за ошибки в BlackBerry MDS Connection Service и BlackBerry Messaging Agent, возникающей при обработке TIFF-изображений перед их отображением на смартфонах BlackBerry.
При этом эксплуатация бреши в MDS Connection Service требует, чтобы жертва открыла предварительно созданную атакующим вредоносную web-страницу. В случае с Messaging Agent злоумышленнику достаточно прикрепить специально сформированное изображение к письму, адресованному пользователю BES – успешная эксплуатация не требует, чтобы пользователь открывал сообщение. Обе бреши присутствуют в библиотеке libtiff и в настоящий момент они устранены в BES версии 5.0.4 MR2.
Кроме того, уязвимыми являются BES Express версий от 5.0.2 до 5.0.4, BES для Microsoft Exchange и Lotus Domino версий от 5.0.2 до 5.0.4, а также BES для Novell Groupwise версий от 5.0.1 до 5.0.4. Те версии этих продуктов, которые более не поддерживаются разработчиками BlackBerry, также уязвимы.
Ознакомиться с подробным описанием узявимостей можно здесь .
Большой брат следит за вами, но мы знаем, как остановить его