Канадский изготовитель телефонов BlackBerry организация Research in Motion рассказал об устранении критически небезопасного бага в серверном программном снабжении BlackBerry Enterprise Server. Баг позволял транслировать пользователям телефонов BlackBerry транслировать графические известия с интегрированным умышленным ПО.
По принятой в организации системе хит-парада багов Common Vulnerability Scoring Систем удаленный баг был расценен в 10 баллов из 10 вероятных, что у программы BlackBerry бывает достаточно нечасто. Как уточнили в организации, баг прикасался внешнего ПО в BlackBerry OS, которое отвечало за обработку графических документов PNG и TIFF, и за их рендеринг на телефонах.
Нападающий мог применять слабость через специально написанный эксплоит, встраивая умышленную сноску в изображение. Дальше это изображение можно было дать в заказчик электронной почты BlackBerry либо другим методом дать на телефон. Любопытно обозначить, что клиенту BlackBerry было не надо жать либо некоторым еще методом обрабатывать сноску, чтобы она повлияла — ОС это делала сама автоматом.
После того, как происходила активация сноски нападающий мог скачать в телефон собственную платформу и осуществить ее с преимуществами нынешнего клиента, имеющего учетную запись на BlackBerry Enterprise Server. В RIM рассказывают, что этот баг крайне небезопасен и пользователям рекомендуется установить изменение как можно быстрее.
Стоит отметить, что версии BlackBerry Enterprise Server 5.0.3 MR3 для MS Exchange и IBM Лотус Domino не подвергаются уязвимости.